该病毒包含3个脚本文件:
loveauto.vbs 主要负责传播,向C-Z盘创建病毒文件(loveauto.bat、autorun.inf、limt.exe、loveauto.reg、loveauto.vbs)并执行病毒limt.exe。 loveauto.reg 修改注册表(内容见下) loveauto.bat 主要负责修改这 5 个文件的属性(系统、只读、隐藏、档案)。
修改注册表如下: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="userinit.exe,loveauto.bat"(修复时,只需将橙色字符串去除)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000000(修复时,建议修改为1) "Hidden"=dword:00000002(修复时,建议修改为1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000000(修复时,建议修改为1) "ValueName"="Hidden" "DefaultValue"=dword:00000000(修复时,建议修改为2) "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105"
autorun.inf内容如下:
open=WScript.exe loveauto.vbs shellEXEcute=WScript.exe loveauto.vbs shell\Auto\command=WScript.exe loveauto.vbs shell\open=打开(&O) shell\open\Command=WScript.exe .\loveauto.vbs shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=WScript.exe .\loveauto.vbs
open=RavMon.exe(这是病毒的bug了,看来是参考autorun病毒时忘记将这些的语句删除了) shellEXEcute=RavMon.exe shell\Auto\command=RavMon.exe |
|