HKCU / Software / Microsoft / Windows / CurrentVersion / Explorer / Advanced / ShowuperHidden
Valeur: Type: reg_dword, longueur: 4, données: 0
HKLM / Software / Microsoft / Windows / CurrentVersion / Explorer / Advanced / Folder / Hidden /
Showall / checkedValue
Valeur: Type: reg_dword, longueur: 4, données: 0
Autres aspects:
Copiez automatiquement la copie en c: /windows/%Username%.vbs, c: /windows/system32/%Username%.vbs de temps en temps, et apportez les modifications ci-dessus au registre;
L'ensemble du fichier VBS est divisé en plusieurs modules, qui perturberont et recombineront ces modules lorsqu'ils sont infectés, et le nom du module changera également;
S'il y a plus de 2 000 fichiers infectés, une boîte de dialogue apparaîtra: "Vous avez plus de 2 000 fichiers infectés! Mais ne vous inquiétez pas, ce virus est facilement supprimé! Veuillez contacter 418465 *** -_-!"
Surveiller les processus suivants "ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr" il;
c: /windows/system32/%GetUsername%.ini enregistre certaines données, y compris la date d'infection, pour une comparaison future.
Conclusion:
Ma compréhension de VBS ne peut se terminer que ici. Le reste attend l'analyse des experts VBS (certains en sortent et vérifient);
De plus, je me demande si cette chose sera nommée virus.vbs.killav.a par kaba, haha! [: 14:]