HKCU/ソフトウェア/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Showperhidden
値:タイプ:reg_dword、長さ:4、データ:0
HKLM/ソフトウェア/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/hidden/
showall/checkedValue
値:タイプ:reg_dword、長さ:4、データ:0
その他の側面:
コピーをc:/windows/%username%.vbs、c:/windows/system32/%username%.vbsに自動的にコピーし、時々上記の変更をレジストリに変更します。
VBSファイル全体がいくつかのモジュールに分割され、感染時にこれらのモジュールを混乱および再結合し、モジュールの名前も変更されます。
2,000を超える感染ファイルがある場合、ダイアログボックスがポップアップします:「2,000を超えるファイルが感染しています!しかし、心配しないでください、このウイルスは簡単に削除されます!418465 *** -_-!に連絡してください!」
次のプロセスを監視している「ras.exe "、" 360tray.exe "、" taskmgr.exe "、" cmd.exe "、" cmd.com "、" regedit.exe "、" regedit.scr "、" regedit.pif "、" regedit.com "、" msconfig.exe "、" sreng.exe "、" sreng.exe "、"それを発見する;
c:/windows/system32/%getusername%.ini将来の比較のために、感染日を含むいくつかのデータを記録します。
結論:
私のVBSの理解はここでのみ終了できます。残りはVBSの専門家の分析を待っています(一部のuが出てきてチェックアウト)。
また、このことはvirus.vbs.killav.aと名付けられるのだろうか、カバ、ハハ! [:14:]