HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
          值：Type: REG_DWORD, Length: 4, Data: 0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\

SHOWALL\CheckedValue
          值：Type: REG_DWORD, Length: 4, Data: 0


其它方面：

每隔一段時間自動復制副本到c:\WINDOWS\%username%.vbs、c:\WINDOWS\system32\%username%.vbs，并對對注冊表作出上面的修改；

整個vbs文件分為好幾個模塊，在感染的時候會打亂并重新組合這些模塊，而模塊的名稱也會改變；

如果感染的文件超過2000個，則會彈窗對話框："您已有超過2000個文件被感染!不過請放心，此病毒很容易被清除!請聯(lián)系418465***-_- !"

監(jiān)視如下的進程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe" ，發(fā)現(xiàn)后就結(jié)束之；

c:\WINDOWS\system32\%GetUserName%.ini里面記錄了一些數(shù)據(jù)，包括感染日期，用于日后作出對照。


結(jié)語：

對vbs的了解只能讓我分析到這里了，其它的有待vbs達人（某U出來看看啦）分析；

另外不知這個東西會不會被卡巴命名為 Virus.VBS.KillAV.a 呢，哈哈！[:14:] 

最新評論