HKCU/Software/Microsoft/Windows/Currentversion/Explorer/Advanced/ShowuperHidden
Wert: Typ: Reg_dword, Länge: 4, Daten: 0
HKLM/Software/Microsoft/Windows/Currentversion/Explorer/Advanced/Ordner/Hidden/
ShowAll/checkedValue
Wert: Typ: Reg_dword, Länge: 4, Daten: 0
Andere Aspekte:
Kopieren Sie die Kopie automatisch in c: /windows/%username%.vbs, c: /windows/system32/%username%.vbs von und ab und nehmen Sie die oben genannten Änderungen an der Registrierung vor;
Die gesamte VBS -Datei ist in mehrere Module unterteilt, die diese Module beim Infizieren stören und rekombinieren, und der Name des Moduls ändert sich ebenfalls.
Wenn es mehr als 2.000 infizierte Dateien gibt, wird ein Dialogfeld angezeigt: "Sie haben mehr als 2.000 Dateien infiziert! Aber bitte machen Sie sich keine Sorgen, dieses Virus kann leicht entfernt werden! Bitte kontaktieren Sie 418465 *** -_-!"
Monitor the following processes "ras.exe","360tray.exe","taskmgr.exe","cmd.exe","cmd.com","regedit.exe","regedit.scr","regedit.pif","regedit.com","msconfig.exe","SREng.exe","USBAntiVir.exe", and end it after discovering Es;
C: /windows/system32/%GetUserName%.ini zeichnet einige Daten, einschließlich des Infektionsdatums, zum zukünftigen Vergleich auf.
Abschluss:
Mein Verständnis von VBS kann hier nur enden. Der Rest wartet auf die Analyse von VBS -Experten (einige kommen heraus und prüfen).
Ich frage mich auch, ob dieses Ding von Kaba, haha! [: 14:]