HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden
值:Type:REG_DWORD,Length:4,Data:0
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/
SHOWALL/CheckedValue
值:Type:REG_DWORD,Length:4,Data:0
其它方面:
每隔一段時間自動複製副本到c:/WINDOWS/%username%.vbs、c:/WINDOWS/system32/%username%.vbs,並對對註冊表作出上面的修改;
整個vbs文件分為好幾個模塊,在感染的時候會打亂並重新組合這些模塊,而模塊的名稱也會改變;
如果感染的文件超過2000個,則會彈窗對話框:"您已有超過2000個文件被感染!不過請放心,此病毒很容易被清除!請聯繫418465***-_-!"
監視如下的進程"ras.exe","360tray.exe","taskmgr.exe","cmd.exe","cmd.com","regedit.exe","regedit.scr","regedit.pif","regedit.com","msconfig.exe","SREng.exe","USBAntiVir.exe",發現後就結束之;
c:/WINDOWS/system32/%GetUserName%.ini裡面記錄了一些數據,包括感染日期,用於日後作出對照。
結語:
對vbs的了解只能讓我分析到這裡了,其它的有待vbs達人(某U出來看看啦)分析;
另外不知這個東西會不會被卡巴命名為Virus.VBS.KillAV.a呢,哈哈! [:14:]