HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden
값 : 유형 : reg_dword, 길이 : 4, 데이터 : 0
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/
showall/checkedValue
값 : 유형 : reg_dword, 길이 : 4, 데이터 : 0
기타 측면 :
사본을 c : /windows/%Username%.vbs, c : /windows/system32/%Username%.vbs에 자동으로 복사하고 위의 수정을 레지스트리로 수정하십시오.
전체 VBS 파일은 여러 모듈로 나뉘어져 있으며,이 모듈은 감염 될 때 이러한 모듈을 방해하고 재결합하며 모듈의 이름도 변경됩니다.
2,000 개가 넘는 감염된 파일이 있으면 대화 상자가 나타납니다. "2,000 개 이상의 파일이 감염되어 있습니다! 그러나 걱정하지 마십시오.이 바이러스는 쉽게 제거됩니다! 418465 *** -_-!"
다음 프로세스 "ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "sreng.exe", "usbante exe", "upedit. 그것;
C : /windows/system32/%GetUsername%.ini는 향후 비교를 위해 감염 날짜를 포함한 일부 데이터를 기록합니다.
결론:
VBS에 대한 나의 이해는 여기서만 끝날 수 있습니다. 나머지는 VBS 전문가의 분석을 기다리고 있습니다 (일부 U가 나와 체크 아웃).
또한,이 물건이 virus.vbs.killav.a로 명명 될지 궁금합니다. [: 14 :]