Hkcu/software/microsoft/windows/currentversion/explorer/avançado/showsuperhidden
Valor: Tipo: reg_dword, comprimento: 4, dados: 0
Hklm/software/microsoft/windows/currentversion/explorer/avançado/pasta/hidden/
Showall/CheckedValue
Valor: Tipo: reg_dword, comprimento: 4, dados: 0
Outros aspectos:
Copie automaticamente a cópia para c: /windows/%Username%.vbs, c: /windows/system32/%Username%.vbs de vez em quando e faça as modificações acima no registro;
Todo o arquivo VBS é dividido em vários módulos, que atrapalharão e recombinarão esses módulos quando infectados, e o nome do módulo também mudará;
Se houver mais de 2.000 arquivos infectados, uma caixa de diálogo será exibida: "Você tem mais de 2.000 arquivos infectados! Mas, por favor, não se preocupe, este vírus é facilmente removido! Entre em contato com 418465 *** -_-!"
Monitore os seguintes processos "ras.exe", "360Tray.exe", "taskMgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regeDit.scr", "regedit.pif", "regeDit.com", "msconfig.exe" sreng.pif "," regeDit.com "," descobrindo;
c: /windows/system32/%GetUserName%.ini registra alguns dados, incluindo a data da infecção, para comparação futura.
Conclusão:
Minha compreensão do VBS só pode terminar aqui. O resto está aguardando a análise de especialistas do VBS (alguns U sai e check -out);
Além disso, eu me pergunto se essa coisa será nomeada Virus.vbs.killav.a por kaba, haha! [: 14:]