HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Showsuperhidden
Valor: Tipo: Reg_dword, Longitud: 4, Datos: 0
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/
Showall/checkedValue
Valor: Tipo: Reg_dword, Longitud: 4, Datos: 0
Otros aspectos:
Copie automáticamente la copia a c: /windows/%username%.VBS, c: /windows/System32/%username%.VBS de vez en cuando, y hacer las modificaciones anteriores en el registro;
Todo el archivo VBS se divide en varios módulos, que interrumpirán y recombinarán estos módulos cuando se infectan, y el nombre del módulo también cambiará;
Si hay más de 2,000 archivos infectados, aparecerá un cuadro de diálogo: "¡Tiene más de 2,000 archivos infectados! Pero no se preocupe, este virus se elimina fácilmente! Póngase en contacto con 418465 *** -_-!"
Monitoree los siguientes procesos "Ras.exe", "360Tray.exe", "taskMgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "sreng.exe", "us.Exe. descubriéndolo;
c: /windows/system32/%getusername%.ini registra algunos datos, incluida la fecha de infección, para la comparación futura.
Conclusión:
Mi comprensión de VBS solo puede terminar aquí. El resto está esperando el análisis de los expertos de VBS (algunos U salen y se revisan);
Además, me pregunto si esta cosa se llamará virus.vbs.killav.a por Kaba, jaja! [: 14:]