HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
          值：Type: REG_DWORD, Length: 4, Data: 0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\

SHOWALL\CheckedValue
          值：Type: REG_DWORD, Length: 4, Data: 0


其它方面：

每隔一段時(shí)間自動(dòng)復(fù)制副本到c:\WINDOWS\%username%.vbs、c:\WINDOWS\system32\%username%.vbs，并對(duì)對(duì)注冊(cè)表作出上面的修改；

整個(gè)vbs文件分為好幾個(gè)模塊，在感染的時(shí)候會(huì)打亂并重新組合這些模塊，而模塊的名稱也會(huì)改變；

如果感染的文件超過(guò)2000個(gè)，則會(huì)彈窗對(duì)話框："您已有超過(guò)2000個(gè)文件被感染!不過(guò)請(qǐng)放心，此病毒很容易被清除!請(qǐng)聯(lián)系418465***-_- !"

監(jiān)視如下的進(jìn)程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe" ，發(fā)現(xiàn)后就結(jié)束之；

c:\WINDOWS\system32\%GetUserName%.ini里面記錄了一些數(shù)據(jù)，包括感染日期，用于日后作出對(duì)照。


結(jié)語(yǔ)：

對(duì)vbs的了解只能讓我分析到這里了，其它的有待vbs達(dá)人（某U出來(lái)看看啦）分析；

另外不知這個(gè)東西會(huì)不會(huì)被卡巴命名為 Virus.VBS.KillAV.a 呢，哈哈！[:14:] 

最新評(píng)論