HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden
القيمة: النوع: reg_dword ، الطول: 4 ، البيانات: 0
HKLM/Software/Microsoft/Windows/Currentversion/Explorer/Advanced/Folder/Hidden/
Showall/checkedValue
القيمة: النوع: reg_dword ، الطول: 4 ، البيانات: 0
جوانب أخرى:
نسخ النسخ تلقائيًا إلى c: /windows/٪USERNAME٪.VBS ، c: /windows/system32/٪USERNAME٪.VBs كل مرة واحدة ، وقم بإجراء التعديلات أعلاه على السجل ؛
يتم تقسيم ملف VBS بأكمله إلى عدة وحدات ، والتي ستعطل هذه الوحدات وإعادة تجميعها عند الإصابة ، وسيتغير اسم الوحدة أيضًا ؛
إذا كان هناك أكثر من 2000 ملف مصابة ، فسيظهر مربع حوار: "لديك أكثر من 2000 ملف مصاب! ولكن من فضلك لا تقلق ، تتم إزالة هذا الفيروس بسهولة! يرجى الاتصال بـ 418465 *** -_-!"
راقب العمليات التالية "ras.exe" ، "360tray.exe" ، "taskmgr.exe" ، "cmd.exe" ، "cmd.com" ، "regedit.exe" ، "regedit.scr" ، "adcediT.pif" ، "regedit.com" ، "msconfig.exe". هو - هي؛
C: /windows/system32/٪GetUserName٪.Ini يسجل بعض البيانات ، بما في ذلك تاريخ الإصابة ، للمقارنة في المستقبل.
خاتمة:
فهمي لـ VBS يمكن أن ينتهي فقط هنا. الباقي ينتظر تحليل خبراء VBS (بعض u يخرج ويتحقق) ؛
أيضًا ، أتساءل عما إذا كان سيتم تسمية هذا الشيء فيروس. [: 14:]