تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

اذهب الى الأسفل

تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!  Empty تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

مُساهمة من طرف بنت البلد في الأحد يناير 01, 2012 12:07 pm

بسم الله الرحمن الرحيم


أخوانى أعضاء المنتدى الكريم ..... و السادة الزائرين الكرام ,

السلام عليكم و رحمة الله و بركاته



_ أن المقصود هنا بتحليل الفيروسات ليس كما هو متعارف عليه فى علم الهندسة العكسية أى تفكيك الفيروس ببرامج خاصة لمعرفة ما يحتويه من أكواد ولكن المقصود هو معرفة ما هو هذا الفيروس ؟ كيف يعمل ؟ ما هى ملفاته ؟ أين ينشىء هذه الملفات ؟ .......الخ .

_
و أيضا قبل البدء فى تحليل هذا الفيروس و تصنيع باتش مضاد له أرجوا أن تكون قد أطلعت على الموضوع التالى :


أنشىء بنفسك مكافح فيروسات Autorun وأحذفه للابد بلا رجعة !!!

ففى الموضوع المشار اليه أعلاه تعرفنا على طبيعة فيروسات Autorun ولماذا تم تسميتها بهذا الاسم ؟ و كيف تعمل ؟ وأين تنشر ملفاتها ؟.

_ كما تعلمنا سويا انشاء برنامج صغير أو أداه لحذف أهم ملف من ملفات هذه الفيروسات الا و هو ملف التشغيل التلقائى Autorun.inf ثم نقوم بعد ذلك بحذف باقى ملفات الفيروس يدويا ولكن هناك بعض الفيروسات تقوم بكتابة ملف التشغيل التلقائى مرة أخرى عندما يتم حذف الاول .وتعلمنا أيضا كيفية اضافة أمر لبرنامجنا فى كليك يمين للماوس .

أما فى هذه المشاركة و المشاركات القادمة أن شاء الله سنقوم سويا بتحليل بعض الفيروسات حتى نستطيع تصنيع المضاد له و اضافته فى برنامجنا السابق و هذه هى الفكرة التى يقوم عليها أى مكافح فيروسات .

فجميع برامج مكافحة الفيروسات تحتاج الى عملية تحديث قاعدة البيانات الخاصة بها من 3 الى 5 أيام على الاكثر حتى تستطيع مكافحة الفيروسات الجديدة .و الفكرة ان مبرمجين هذه البرامج يقوموا بتحليل الفيروسات ثم بعد ذلك يتم وضع ملفات التحديث اللازمة لبرامجهم .

_ ومن هذا المنطلق سنقوم نحن أيضا بتحليل بعض هذه الفيروسات لتحديث برنامجنا فبدلا من أن يقوم برنامجنا بالقضاء على ملف واحد من ملفات الفيروس سيقوم هو بحذف جميع ملفات الفيروس .

ليس هذا فقط بل أيضا سيقوم برنامجنا بحذف المفاتيح و القيم التى أنشئها هذا الفيروس فى ملف الريجستير .
وأيضا سيقوم برنامجنا باصلاح ما أفسده هذا الفيروس دون تدخل منا .

أولا : تحليل فيروس kavo.exe


_ تعرف على الفيروس :

الاصدار الاول من هذا الفيروس ظهر فى تقرير تحليل الفيروسات لموقع ThreatExpert فى 2 ديسمبر 2009 و يمكنك الاطلاع على التقرير الاصلى من
هنا .

أما الاصدار الثانى لهذا الفيروس ظهر فى 22 مارس 2010 كما يمكنك الاطلاع على التقرير الاصلى من
هنا

يقوم هذا الفيروس بإنشاء ملف تشغيل آلي Autorun.inf، ثم يقوم بتحميل بعض الملفات kavo0.dll ، otrewe0.dll في مساحة العنوان من مستكشف النوافذ .ويقوم بتنزيل ملفات خبيثة كلما أتصلت بالانترنت .

_ الاسماء المختلفة للفيروس :

يعرف هذا الفيروس أيضا بأسماء عديدة على حسب شركات مكافة الفيروسات وهم على النحو التالى :



HeurEngine.Packed-NsAnti ]PCTools]
Trojan.Packed.NsAnti ]Symantec]
Trojan-GameThief.Win32.Magania.apca ]Kaspersky Lab]
Generic PWS.ak ]McAfee]
Mal/Frethog-B, Mal/EncPk-EF ]Sophos]
Worm:Win32/Taterf.B ]Microsoft]
Win-Trojan/Magania.122961.B ]AhnLab]



_ حركة الفيروس و ملفاته :

_ هذا الفيروس يضع الملفين التاليين في جميع أجزاء الهارد الخاص بك(C,D,E....) وفي كل قرص قابل للإزالة.

autorun.inf
ntdelect.com
C:\300y.cmd


_كما يضع الملفات التالية فى مجلد System32 :

C:\Windows\System32\kavo.exe
C:\Windows\System32\cvsdfw.exe
C:\Windows\System32\kavo0.dll
C:\Windows\System32\kavo1.dll
C:\Windows\System32\otrewe0.dll
C:\Windows\System32\otrewe1.dll
C:\Windows\System32\kavo1.exe
C:\Windows\System32\kavo0.exe
C:\Windows\System32\wincab.sys



_ ويضع فى مجلد Windows الملف التالى :

C:\Windows\tt.exe



_ ويضع الملفات التالية فى مجلد Temp :

•<Temp>\b88d9jce.sys
•<Temp>\zjtxwj.dl
%Temp%\pfwwk.dll
%Temp%\ker1.tmp
%Temp%\ker2.tmp
%Temp%\ker3.tmp
%Temp%\ker4.tmp


_ أما فى مسجل النظام Registre يقوم الفيروس بعمل الاتى :

1-ينشىء مفاتيح التسجيل التالية :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000\Control
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN



2 - ينشىء قيم التسجيل الاتية :

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000]
Service = "trlmnczq"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ]
NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000]
Service = "trlmnczq"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ]
NextInstance = 0x00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN]
urlinfo = "a5dvgt.n"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run]
kava = "%System%\kavo.exe"
anhtaas = "%System%\cvsdfw.exe"




وخلى بالك من القيمة الاخيرة (السطر الاخير ) لذلك تجد أن هذا الفيروس يعمل دائما عند بداية تشغيل الويندوز .

3 - يقوم هذا الفيروس بتغير قيمة المفتاح التالى :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue =

ولذلك تجد خيارات المجلد (Option Folder ) غير موجودة .



ثانيا : صنع الباتش المضاد لهذا الفيروس



بعد ما عرفنا ملفات الفيروس و قيم و مفاتيح هذا الفيروس فى مسجل النظام Registre نستطيع أن نصع برنامج أو باتش مضاد له .

_ مخطط برنامجنا (الباتش المضاد للفيروس) :

1_ ايقاف حركة الفيروس لانه لا يمكن نزع أى شىء فى جهاز الكمبيوتر وهو فى حالة تشغيل ( مثلا :جرب حذف ملف mp3 وهو فى حاله تشغيل ...لن يحذف أبدا)

2- حذف ملفات الفيروس من مجلد Windows

3- حذف ملفات الفيروس من مجلد System32

4 -حذف ملفات الفيروس من مجلد Temp

5- حذف ملفات الفيروس من على جميع أجزاء القرص الصلب .

6 - حذف المفاتيح و القيم التى أنشئها الفيروس فى Registre

7 - أصلاح ما أفسدة الفيروس فى قيم Registre الاصلية

8- أظهار رسالة للمستخدم للخيار بين أنشاء ملف Autorun.inf للتحصين أم أنهاء البرنامج ( وضحت سابقا الفكرة من أنشاء هذا الملف على القرص الصلب ).

9 -انهاء البرنامج



أنتظرونى فى المشاركة القادمة أن شاء الله تعالى لكتابة أكواد الباتش المضاد لهذا الفيرس
بنت البلد
بنت البلد
.....
.....

تاريخ التسجيل : 18/02/2011
المساهمات : 84
النقاط : 159
التقيم : 11
الجنس : انثى

الرجوع الى أعلى الصفحة اذهب الى الأسفل

تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!  Empty رد: تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

مُساهمة من طرف NEXT في الأحد يناير 01, 2012 7:45 pm





أنتظرونى فى المشاركة القادمة أن شاء الله تعالى لكتابة أكواد الباتش المضاد لهذا الفيرس







منتظرين الابداع Smile

ـــــــــــــــــــ التوقيع ــــــــــــــــــــ
تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!  Do.php?imgf=154090993464951
NEXT
NEXT
الادارة
الادارة

تاريخ التسجيل : 18/02/2011
المساهمات : 385
النقاط : 200563
التقيم : 14
الدولة : مصر
الجنس : ذكر

الرجوع الى أعلى الصفحة اذهب الى الأسفل

تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!  Empty رد: تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

مُساهمة من طرف القناع المصري في الأربعاء فبراير 01, 2012 10:50 am

مشكووووووووووووووووووووووور
القناع المصري
القناع المصري
.
.

تاريخ التسجيل : 31/01/2012
المساهمات : 4
النقاط : 8
التقيم : 0
الجنس : ذكر

الرجوع الى أعلى الصفحة اذهب الى الأسفل

تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!  Empty هذه التتمة منقول من مشاركة للاستاذ احمد مناع

مُساهمة من طرف أيمن الإبراهيم في الجمعة نوفمبر 22, 2013 4:58 pm


- قم بفتح المفكرة Notepad

1 - ايقاف حركة الفيروس (سنقوم بايقاف تشغيل الملفات التنفيذية للفيروس )عن طريق هذا الامر


كود PHP:
الكود:

taskkill /f /im kavo.exe

taskkill /f /im cvsdfw.exe

taskkill /f /im kavo1.exe

taskkill /f /im kavo0.exe 



من خلال الكود السابق تم ايقاف الفيروس عن العمل أذن يتضح لك أن الامر taskkill /f /im هو المسؤل عن ايقاف أى ملف أذا كان فى حاله تشغيل ثم الحقنا بعده الملفات التنفيذية للفيروس .

2 - حذف ملفات الفيروس من من مجلد النظام و مجلد System32 و مجلد Temp


كود PHP:
الكود:

del %SystemRoot%tt.exe /f /a /q

del %systemroot%system32kavo.exe /f /a /q

del %systemroot%system32cvsdfw.exe /f /a /q

del %systemroot%system32kavo0.exe /f /a /q

del %systemroot%system32kavo1.exe /f /a /q

del %systemroot%system32kavo0.dll /f /a /q

del %systemroot%system32kavo1.dll /f /a /q

del %systemroot%system32otrewe0.dll /f /a /q

del %systemroot%system32otrewe1.dll /f /a /q

del %systemroot%system32wincab.sys /f /a /q

DEL %TEMP% /f /s /a /q 



يلاحظ على الكود:

أمر الحذف هو del أما الامر %systemroot% هو مجلد النظام أى كان مكانه فى الهارد على C او D او F .....الخ .
أما F/ يقصد به حذف الملفات حتى أن كانت للقراءة فقط .
أما A/ يقصد به حذف الملفات على اساس الصفات .
أما Q/ يقصد به الحذف دون ظهور رسالة للمستخدم (هل تريد حذف هذا الملف أم لا).
أما S/ حذف من جميع المجلدات الفرعية.

وتلاحظ أيضا الامر فى السطر الاخر (DEL %TEMP% /f /s /a /q) حذفنا جميع ملفات المجلد TEMP

3 _ حذف ملفات الفيروس وملف Autorun.inf الموجود داخل كل بارتشن فى الجهاز عن طريق هذا الكود .


كود PHP:
الكود:

if exist c:autorun.inf attrib -a -s -r -h c:autorun.inf&del c:autorun.inf

if exist d:autorun.inf attrib -a -s -r -h d:autorun.inf&del d:autorun.inf

if exist e:autorun.inf attrib -a -s -r -h e:autorun.inf&del e:autorun.inf

if exist f:autorun.inf attrib -a -s -r -h f:autorun.inf&del f:autorun.inf

if exist g:autorun.inf attrib -a -s -r -h g:autorun.inf&del g:autorun.inf

if exist h:autorun.inf attrib -a -s -r -h h:autorun.inf&del h:autorun.inf

if exist i:autorun.inf attrib -a -s -r -h i:autorun.inf&del i:autorun.inf

if exist j:autorun.inf attrib -a -s -r -h j:autorun.inf&del j:autorun.inf

if exist k:autorun.inf attrib -a -s -r -h k:autorun.inf&del k:autorun.inf

if exist l:autorun.inf attrib -a -s -r -h l:autorun.inf&del l:autorun.inf

if exist m:autorun.inf attrib -a -s -r -h m:autorun.inf&del m:autorun.inf

if exist n:autorun.inf attrib -a -s -r -h n:autorun.inf&del n:autorun.inf



if exist c:ntdelect.com attrib -a -s -r -h c:ntdelect.com&del c:ntdelect.com

if exist d:ntdelect.com attrib -a -s -r -h d:ntdelect.com&del d:ntdelect.com

if exist e:ntdelect.com attrib -a -s -r -h e:ntdelect.com&del e:ntdelect.com

if exist f:ntdelect.com attrib -a -s -r -h f:ntdelect.com&del f:ntdelect.com

if exist g:ntdelect.com attrib -a -s -r -h g:ntdelect.com&del g:ntdelect.com

if exist h:ntdelect.com attrib -a -s -r -h h:ntdelect.com&del h:ntdelect.com

if exist i:ntdelect.com attrib -a -s -r -h i:ntdelect.com&del i:ntdelect.com

if exist j:ntdelect.com attrib -a -s -r -h j:ntdelect.com&del j:ntdelect.com

if exist k:ntdelect.com attrib -a -s -r -h k:ntdelect.com&del k:ntdelect.com

if exist l:ntdelect.com attrib -a -s -r -h l:ntdelect.com&del l:ntdelect.com

if exist m:ntdelect.com attrib -a -s -r -h m:ntdelect.com&del m:ntdelect.com

if exist n:ntdelect.com attrib -a -s -r -h n:ntdelect.com&del n:ntdelect.com



if exist c:300y.cmd attrib -a -s -r -h c:300y.cmd&del c:300y.cmd

if exist d:300y.cmd attrib -a -s -r -h d:300y.cmd&del d:300y.cmd

if exist e:300y.cmd attrib -a -s -r -h e:300y.cmd&del e:300y.cmd

if exist f:300y.cmd attrib -a -s -r -h f:300y.cmd&del f:300y.cmd

if exist g:300y.cmd attrib -a -s -r -h g:300y.cmd&del g:300y.cmd

if exist h:300y.cmd attrib -a -s -r -h h:300y.cmd&del h:300y.cmd

if exist i:300y.cmd attrib -a -s -r -h i:300y.cmd&del i:300y.cmd

if exist j:300y.cmd attrib -a -s -r -h j:300y.cmd&del j:300y.cmd

if exist k:300y.cmd attrib -a -s -r -h k:300y.cmd&del k:300y.cmd

if exist l:300y.cmd attrib -a -s -r -h l:300y.cmd&del l:300y.cmd

if exist m:300y.cmd attrib -a -s -r -h m:300y.cmd&del m:300y.cmd

if exist n:300y.cmd attrib -a -s -r -h n:300y.cmd&del n:300y.cmd 



طبعا عند تحليل الفيروس وجدنا أن هذا الفيروس يقوم بوضع ثلاث ملفات على جميع أجزاء القرص الصلب و هى ملف autorun.inf , وملف ntdelect.com , وملف 300y.cmd لذلك قمنا بحذفهم من خلال الكود السابق.

يلاحظ أيضا على الكود السابق :
_ الامر if exist جملة if ويقصد بها أذا كان الملف موجود نفذ الامر فقط
_ الامر attrib -a -s -r -h تم شرح هذا الامر فى المشاركة السابقة

4 - حذف المفاتيح التى أنشاها الفيروس فى ملف Registre عن طريق الكود التالى :


كود PHP:
الكود:

reg delete HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_TRLMNCZQ

reg delete HKEY_LOCAL_MACHINESOFTWAREClassesCLSIDMADOWN 



يلاحظ على الكود السابق :
_ الامر reg delete هو المسؤل عن حذف مفتاح فى مسجل النظام ثم بعد ذلك نتبعه بمسار المفتاح بالكامل
_ و يلاحظ أيضا أن اى مفتاح فرعى أو قيمة تحت هذا المفتاح سيحذف أيضا .

5 - حذف القيم التى أنشأها الفيروس فى Registre عن طريق هذا الكود :


كود PHP:
الكود:

REG delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v kava /f

REG delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v anhtaas /f 



عرفنا أن هذا الفيروس بيقوم بانشاء قيم هما kava و anhtaas تحت المفتاح Run و بهذا يستطيع الفيروس العمل مباشر فى كل مرة تفتح فيها جهازك .اذن المطلوب هو حذف تلك القيم و ليس حذف مفتاح Run بالكامل لانه يحتوى على بعض قيم النظام .

6 - أصلاح ما أفسدة الفيروس فى عن طريق هذا الكود :


كود PHP:
الكود:

REG add HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL /v CheckedValue /t REG_DWORD /d 1 /f 



7 _ أظهار رسالة للمستخدم للخيار بين أنهاء البرنامج أو أنشاء ملف Autorun.inf على جميع أجزاء القرص الصلب للتحصين ضد هذه الفيروسات



كود PHP:
الكود:

echo. 

echo Are you sure u want to Create Autorun file in this dirve(Y/N)    

set/p "cho=>"    

if %cho%==Y goto create    

if %cho%==y goto create    

if %cho%==n goto END    

if %cho%==N goto END  

:ms  

cls 

color 0c 

echo.  

echo Invalid choice.  

echo. 

echo Please select the correct option (y) for create or (n) for end 

echo. 

echo. 

echo Are you sure u want to Create Autorun file in this dirve(Y/N)    

set/p "cho=>"    

if %cho%==Y goto create    

if %cho%==y goto create    

if %cho%==n goto END    

if %cho%==N goto END   

goto ms 

:create 

echo this is your autorun file >> AUTORUN.INF 

attrib AUTORUN.INF +r +s +h 

:end 

end 



أذن الكود النهائى للبرنامج أو الباتش على النحو التالى


كود PHP:
الكود:

echo. 

echo Are you sure u want to Create Autorun file in this dirve(Y/N)    

set/p "cho=>"    

if %cho%==Y goto create    

if %cho%==y goto create    

if %cho%==n goto END    

if %cho%==N goto END  

:ms  

cls 

color 0c 

echo.  

echo Invalid choice.  

echo. 

echo Please select the correct option (y) for create or (n) for end 

echo. 

echo. 

echo Are you sure u want to Create Autorun file in this dirve(Y/N)    

set/p "cho=>"    

if %cho%==Y goto create    

if %cho%==y goto create    

if %cho%==n goto END    

if %cho%==N goto END   

goto ms 

:create 

echo this is your autorun file >> AUTORUN.INF 

attrib AUTORUN.INF +r +s +h 

:end 

end  @echo off

title benmaryam Autorun killer v1

color 0a

echo.

echo ...................................................

echo Welcome To benmaryam Autorun killer v1

echo This Program Had Written To Remove (Autorun) Virus

echo You Cannot remove this virus by installing

echo New system copy.

echo Just Use This Program To Remove It

echo.

echo .              Craete by ahmed manna

echo.

echo .               [email]Zakyshny@yahoo.com[/email]

echo ...................................................

echo Now Start To Fix Your System

pause

taskkill /f /im kavo.exe

taskkill /f /im cvsdfw.exe

taskkill /f /im kavo1.exe

taskkill /f /im kavo0.exe



del %SystemRoot%tt.exe /f /a /q

del %systemroot%system32kavo.exe /f /a /q

del %systemroot%system32cvsdfw.exe /f /a /q

del %systemroot%system32kavo0.exe /f /a /q

del %systemroot%system32kavo1.exe /f /a /q

del %systemroot%system32kavo0.dll /f /a /q

del %systemroot%system32kavo1.dll /f /a /q

del %systemroot%system32otrewe0.dll /f /a /q

del %systemroot%system32otrewe1.dll /f /a /q

del %systemroot%system32wincab.sys /f /a /q

DEL %TEMP% /f /s /a /q

pause

if exist c:autorun.inf attrib -a -s -r -h c:autorun.inf&del c:autorun.inf

if exist d:autorun.inf attrib -a -s -r -h d:autorun.inf&del d:autorun.inf

if exist e:autorun.inf attrib -a -s -r -h e:autorun.inf&del e:autorun.inf

if exist f:autorun.inf attrib -a -s -r -h f:autorun.inf&del f:autorun.inf

if exist g:autorun.inf attrib -a -s -r -h g:autorun.inf&del g:autorun.inf

if exist h:autorun.inf attrib -a -s -r -h h:autorun.inf&del h:autorun.inf

if exist i:autorun.inf attrib -a -s -r -h i:autorun.inf&del i:autorun.inf

if exist j:autorun.inf attrib -a -s -r -h j:autorun.inf&del j:autorun.inf

if exist k:autorun.inf attrib -a -s -r -h k:autorun.inf&del k:autorun.inf

if exist l:autorun.inf attrib -a -s -r -h l:autorun.inf&del l:autorun.inf

if exist m:autorun.inf attrib -a -s -r -h m:autorun.inf&del m:autorun.inf

if exist n:autorun.inf attrib -a -s -r -h n:autorun.inf&del n:autorun.inf



if exist c:ntdelect.com attrib -a -s -r -h c:ntdelect.com&del c:ntdelect.com

if exist d:ntdelect.com attrib -a -s -r -h d:ntdelect.com&del d:ntdelect.com

if exist e:ntdelect.com attrib -a -s -r -h e:ntdelect.com&del e:ntdelect.com

if exist f:ntdelect.com attrib -a -s -r -h f:ntdelect.com&del f:ntdelect.com

if exist g:ntdelect.com attrib -a -s -r -h g:ntdelect.com&del g:ntdelect.com

if exist h:ntdelect.com attrib -a -s -r -h h:ntdelect.com&del h:ntdelect.com

if exist i:ntdelect.com attrib -a -s -r -h i:ntdelect.com&del i:ntdelect.com

if exist j:ntdelect.com attrib -a -s -r -h j:ntdelect.com&del j:ntdelect.com

if exist k:ntdelect.com attrib -a -s -r -h k:ntdelect.com&del k:ntdelect.com

if exist l:ntdelect.com attrib -a -s -r -h l:ntdelect.com&del l:ntdelect.com

if exist m:ntdelect.com attrib -a -s -r -h m:ntdelect.com&del m:ntdelect.com

if exist n:ntdelect.com attrib -a -s -r -h n:ntdelect.com&del n:ntdelect.com



if exist c:300y.cmd attrib -a -s -r -h c:300y.cmd&del c:300y.cmd

if exist d:300y.cmd attrib -a -s -r -h d:300y.cmd&del d:300y.cmd

if exist e:300y.cmd attrib -a -s -r -h e:300y.cmd&del e:300y.cmd

if exist f:300y.cmd attrib -a -s -r -h f:300y.cmd&del f:300y.cmd

if exist g:300y.cmd attrib -a -s -r -h g:300y.cmd&del g:300y.cmd

if exist h:300y.cmd attrib -a -s -r -h h:300y.cmd&del h:300y.cmd

if exist i:300y.cmd attrib -a -s -r -h i:300y.cmd&del i:300y.cmd

if exist j:300y.cmd attrib -a -s -r -h j:300y.cmd&del j:300y.cmd

if exist k:300y.cmd attrib -a -s -r -h k:300y.cmd&del k:300y.cmd

if exist l:300y.cmd attrib -a -s -r -h l:300y.cmd&del l:300y.cmd

if exist m:300y.cmd attrib -a -s -r -h m:300y.cmd&del m:300y.cmd

if exist n:300y.cmd attrib -a -s -r -h n:300y.cmd&del n:300y.cmd



pasue



reg delete HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_TRLMNCZQ

reg delete HKEY_LOCAL_MACHINESOFTWAREClassesCLSIDMADOWN

REG delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v kava /f

REG delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v anhtaas /f

REG add HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL /v CheckedValue /t REG_DWORD /d 1 /f



echo. 

echo Are you sure u want to Create Autorun file in this dirve(Y/N)    

set/p "cho=>"    

if %cho%==Y goto create    

if %cho%==y goto create    

if %cho%==n goto END    

if %cho%==N goto END  

:ms  

cls 

color 0c 

echo.  

echo Invalid choice.  

echo. 

echo Please select the correct option (y) for create or (n) for end 

echo. 

echo. 

echo Are you sure u want to Create Autorun file in this dirve(Y/N)    

set/p "cho=>"    

if %cho%==Y goto create    

if %cho%==y goto create    

if %cho%==n goto END    

if %cho%==N goto END   

goto ms 

:create 

echo this is your autorun file >> AUTORUN.INF 

attrib AUTORUN.INF +r +s +h 

:end 

end 



و بهذا نكون أنتهيا من تحليل هذا الفيروس و صنعنا الباتش المضاد له ..........


ه
أيمن الإبراهيم
أيمن الإبراهيم
........
........

تاريخ التسجيل : 19/03/2013
المساهمات : 251
النقاط : 397
التقيم : 0
الدولة : سوريا
الجنس : ذكر

الرجوع الى أعلى الصفحة اذهب الى الأسفل

تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!  Empty رد: تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

مُساهمة من طرف أحمد مناع في الجمعة نوفمبر 22, 2013 5:46 pm

اشكرك على اهتمامك أخى ايمن

ـــــــــــــــــــ التوقيع ــــــــــــــــــــ
سبحان الله وبحمدة .....سبحان الله العظيم
أحمد مناع
أحمد مناع
.
.

تاريخ التسجيل : 15/02/2011
المساهمات : 994
النقاط : 201783
التقيم : 119
الدولة : مصر
الجنس : ذكر

http://egy-tech.forumegypt.net

الرجوع الى أعلى الصفحة اذهب الى الأسفل

تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!  Empty رد: تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

مُساهمة من طرف أيمن الإبراهيم في الأحد نوفمبر 24, 2013 3:06 pm

استاذ احمد اعتزر عن كثرة الاسئلة   
لا يوجد طريقة لتشغيل برنامج مكافح مصمم ب ملفات الدفععية باستخدام المفكرة
ب جافا اي تصميم تطبيق يحتوي على زر فحص الاقراص ويحتوي الزر على كود يقوم بتشغيل الملف المفكرة

ارجو فهم قصدي
واريد كود اضيفه الى اكواد السابقة تقوم تلقائيا عند تشغيل الملف لاول مرة باضافة برنامج على قائمة خيارات الاقراص وشكرا
أيمن الإبراهيم
أيمن الإبراهيم
........
........

تاريخ التسجيل : 19/03/2013
المساهمات : 251
النقاط : 397
التقيم : 0
الدولة : سوريا
الجنس : ذكر

الرجوع الى أعلى الصفحة اذهب الى الأسفل

تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!  Empty رد: تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

مُساهمة من طرف بنت البلد في الخميس نوفمبر 28, 2013 2:32 pm

انا نسيت أكمل المقال ....Sad Sad Sad
بنت البلد
بنت البلد
.....
.....

تاريخ التسجيل : 18/02/2011
المساهمات : 84
النقاط : 159
التقيم : 11
الجنس : انثى

الرجوع الى أعلى الصفحة اذهب الى الأسفل

تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!  Empty رد: تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

مُساهمة من طرف أيمن الإبراهيم في الخميس نوفمبر 28, 2013 9:43 pm

@بنت البلد كتب:انا نسيت أكمل المقال ....Sad Sad Sad
فداكي انتي الاساس
أيمن الإبراهيم
أيمن الإبراهيم
........
........

تاريخ التسجيل : 19/03/2013
المساهمات : 251
النقاط : 397
التقيم : 0
الدولة : سوريا
الجنس : ذكر

الرجوع الى أعلى الصفحة اذهب الى الأسفل

الرجوع الى أعلى الصفحة

ََ

مواضيع ذات صلة


 
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى