HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowperHidden
Значение: тип: reg_dword, длина: 4, данные: 0
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/
Showall/FectedValue
Значение: тип: reg_dword, длина: 4, данные: 0
Другие аспекты:
Автоматически скопируйте копию в C: /windows/%USERNAME%.VBS, C: /Windows/SYSTEM32/%USERNAME%.VBS Время от времени и вносите вышеуказанные изменения в реестре;
Весь файл VBS делится на несколько модулей, которые будут нарушать и рекомбинация этих модулей при заражении, а имя модуля также изменится;
Если существует более 2000 инфицированных файлов, появится диалоговое окно: «У вас есть более 2000 файлов, зараженных! Но, пожалуйста, не волнуйтесь, этот вирус легко удаляется! Пожалуйста, свяжитесь с 418465 *** -_-!»
Следите за следующими процессами «ras.exe», «360tray.exe», «taskmgr.exe», «cmd.exe», «cmd.com», «regedit.exe», «regedit.scr», «regedit.pif», «regedit.com», «msconfig.exe», Sreng.exe.exe ». это;
C: /windows/system32/%Getusername%.ini записывает некоторые данные, включая дату инфекции, для будущего сравнения.
Заключение:
Мое понимание VBS может только закончиться здесь. Остальное ждет анализа экспертов VBS (некоторые выходят и проверяют);
Кроме того, мне интересно, будет ли эта штука названа Virus.vbs.killav.a от Kaba, ха -ха! [: 14:]