hkcu/ซอฟต์แวร์/microsoft/windows/currentversion/explorer/advanced/showsuperhidden
ค่า: ประเภท: reg_dword, ความยาว: 4, ข้อมูล: 0
HKLM/ซอฟต์แวร์/microsoft/windows/currentversion/explorer/advanced/folder/hidden/
showall/checkedValue
ค่า: ประเภท: reg_dword, ความยาว: 4, ข้อมูล: 0
ด้านอื่น ๆ :
คัดลอกสำเนาไปยัง C: /windows/%USERNAME%.VBS, C: /Windows/System32/%USERNAME%.VBS ทุกครั้งในขณะที่และทำการปรับเปลี่ยนข้างต้นไปยังรีจิสทรี;
ไฟล์ VBS ทั้งหมดแบ่งออกเป็นหลายโมดูลซึ่งจะขัดขวางและรวมโมดูลเหล่านี้อีกครั้งเมื่อติดเชื้อและชื่อของโมดูลก็จะเปลี่ยนไปเช่นกัน
หากมีไฟล์ที่ติดเชื้อมากกว่า 2,000 ไฟล์กล่องโต้ตอบจะปรากฏขึ้น: "คุณมีไฟล์ที่ติดเชื้อมากกว่า 2,000 ไฟล์ แต่โปรดไม่ต้องกังวลไวรัสนี้จะถูกลบออกได้ง่าย! โปรดติดต่อ 418465 *** -_-!"
ตรวจสอบกระบวนการต่อไปนี้ "ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com" ค้นพบมัน;
C: /windows/system32/%GetUserName%.ini บันทึกข้อมูลบางอย่างรวมถึงวันที่ติดเชื้อสำหรับการเปรียบเทียบในอนาคต
บทสรุป:
ความเข้าใจของฉันเกี่ยวกับ VBS สามารถจบได้ที่นี่เท่านั้น ส่วนที่เหลือกำลังรอการวิเคราะห์ของผู้เชี่ยวชาญ VBS (บาง U ออกมาและตรวจสอบ);
นอกจากนี้ฉันสงสัยว่าสิ่งนี้จะได้รับการตั้งชื่อว่า virus.vbs.killav.a โดย Kaba, haha! [: 14:]