HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden
值:Type: REG_DWORD, Length: 4, Data: 0
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/
SHOWALL/CheckedValue
值:Type: REG_DWORD, Length: 4, Data: 0
其它方面:
每隔一段時間自動復制副本到c:/WINDOWS/%username%.vbs、c:/WINDOWS/system32/%username%.vbs,并對對注冊表作出上面的修改;
整個vbs文件分為好幾個模塊,在感染的時候會打亂并重新組合這些模塊,而模塊的名稱也會改變;
如果感染的文件超過2000個,則會彈窗對話框:"您已有超過2000個文件被感染!不過請放心,此病毒很容易被清除!請聯系418465***-_- !"
監視如下的進程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe" ,發現后就結束之;
c:/WINDOWS/system32/%GetUserName%.ini里面記錄了一些數據,包括感染日期,用于日后作出對照。
結語:
對vbs的了解只能讓我分析到這里了,其它的有待vbs達人(某U出來看看啦)分析;
另外不知這個東西會不會被卡巴命名為 Virus.VBS.KillAV.a 呢,哈哈![:14:]
