HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden
值:Type: REG_DWORD, Length: 4, Data: 0
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/
SHOWALL/CheckedValue
值:Type: REG_DWORD, Length: 4, Data: 0
其它方面:
每隔一段時間自動復制副本到c:/WINDOWS/%username%.vbs�、c:/WINDOWS/system32/%username%.vbs�����,并對對注冊表作出上面的修改��;
整個vbs文件分為好幾個模塊�����,在感染的時候會打亂并重新組合這些模塊����,而模塊的名稱也會改變��;
如果感染的文件超過2000個��,則會彈窗對話框:"您已有超過2000個文件被感染!不過請放心��,此病毒很容易被清除!請聯系418465***-_- !"
監視如下的進程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe" ��,發現后就結束之����;
c:/WINDOWS/system32/%GetUserName%.ini里面記錄了一些數據����,包括感染日期,用于日后作出對照����。
結語:
對vbs的了解只能讓我分析到這里了,其它的有待vbs達人(某U出來看看啦)分析�����;
另外不知這個東西會不會被卡巴命名為 Virus.VBS.KillAV.a 呢����,哈哈��![:14:]
