تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

من طرف بنت البلد في الأحد يناير 01, 2012 12:07 pm

بسم الله الرحمن الرحيم

أخوانى أعضاء المنتدى الكريم ..... و السادة الزائرين الكرام ,

السلام عليكم و رحمة الله و بركاته

_ أن المقصود هنا بتحليل الفيروسات ليس كما هو متعارف عليه فى علم الهندسة العكسية أى تفكيك الفيروس ببرامج خاصة لمعرفة ما يحتويه من أكواد ولكن المقصود هو معرفة ما هو هذا الفيروس ؟ كيف يعمل ؟ ما هى ملفاته ؟ أين ينشىء هذه الملفات ؟ .......الخ .

_و أيضا قبل البدء فى تحليل هذا الفيروس و تصنيع باتش مضاد له أرجوا أن تكون قد أطلعت على الموضوع التالى :

أنشىء بنفسك مكافح فيروسات Autorun وأحذفه للابد بلا رجعة !!!

ففى الموضوع المشار اليه أعلاه تعرفنا على طبيعة فيروسات Autorun ولماذا تم تسميتها بهذا الاسم ؟ و كيف تعمل ؟ وأين تنشر ملفاتها ؟.

_ كما تعلمنا سويا انشاء برنامج صغير أو أداه لحذف أهم ملف من ملفات هذه الفيروسات الا و هو ملف التشغيل التلقائى Autorun.inf ثم نقوم بعد ذلك بحذف باقى ملفات الفيروس يدويا ولكن هناك بعض الفيروسات تقوم بكتابة ملف التشغيل التلقائى مرة أخرى عندما يتم حذف الاول .وتعلمنا أيضا كيفية اضافة أمر لبرنامجنا فى كليك يمين للماوس .

أما فى هذه المشاركة و المشاركات القادمة أن شاء الله سنقوم سويا بتحليل بعض الفيروسات حتى نستطيع تصنيع المضاد له و اضافته فى برنامجنا السابق و هذه هى الفكرة التى يقوم عليها أى مكافح فيروسات .

فجميع برامج مكافحة الفيروسات تحتاج الى عملية تحديث قاعدة البيانات الخاصة بها من 3 الى 5 أيام على الاكثر حتى تستطيع مكافحة الفيروسات الجديدة .و الفكرة ان مبرمجين هذه البرامج يقوموا بتحليل الفيروسات ثم بعد ذلك يتم وضع ملفات التحديث اللازمة لبرامجهم .

_ ومن هذا المنطلق سنقوم نحن أيضا بتحليل بعض هذه الفيروسات لتحديث برنامجنا فبدلا من أن يقوم برنامجنا بالقضاء على ملف واحد من ملفات الفيروس سيقوم هو بحذف جميع ملفات الفيروس .

ليس هذا فقط بل أيضا سيقوم برنامجنا بحذف المفاتيح و القيم التى أنشئها هذا الفيروس فى ملف الريجستير .
وأيضا سيقوم برنامجنا باصلاح ما أفسده هذا الفيروس دون تدخل منا .

أولا : تحليل فيروس kavo.exe

_ تعرف على الفيروس :

الاصدار الاول من هذا الفيروس ظهر فى تقرير تحليل الفيروسات لموقع ThreatExpert فى 2 ديسمبر 2009 و يمكنك الاطلاع على التقرير الاصلى من هنا .

أما الاصدار الثانى لهذا الفيروس ظهر فى 22 مارس 2010 كما يمكنك الاطلاع على التقرير الاصلى من هنا

يقوم هذا الفيروس بإنشاء ملف تشغيل آلي Autorun.inf، ثم يقوم بتحميل بعض الملفات kavo0.dll ، otrewe0.dll في مساحة العنوان من مستكشف النوافذ .ويقوم بتنزيل ملفات خبيثة كلما أتصلت بالانترنت .

_ الاسماء المختلفة للفيروس :

يعرف هذا الفيروس أيضا بأسماء عديدة على حسب شركات مكافة الفيروسات وهم على النحو التالى :

HeurEngine.Packed-NsAnti ]PCTools]
Trojan.Packed.NsAnti ]Symantec]
Trojan-GameThief.Win32.Magania.apca ]Kaspersky Lab]
Generic PWS.ak ]McAfee]
Mal/Frethog-B, Mal/EncPk-EF ]Sophos]
Worm:Win32/Taterf.B ]Microsoft]
Win-Trojan/Magania.122961.B ]AhnLab]

_ حركة الفيروس و ملفاته :

_ هذا الفيروس يضع الملفين التاليين في جميع أجزاء الهارد الخاص بك(C,D,E....) وفي كل قرص قابل للإزالة.

autorun.inf
ntdelect.com
C:\300y.cmd

_كما يضع الملفات التالية فى مجلد System32 :

C:\Windows\System32\kavo.exe
C:\Windows\System32\cvsdfw.exe
C:\Windows\System32\kavo0.dll
C:\Windows\System32\kavo1.dll
C:\Windows\System32\otrewe0.dll
C:\Windows\System32\otrewe1.dll
C:\Windows\System32\kavo1.exe
C:\Windows\System32\kavo0.exe
C:\Windows\System32\wincab.sys

_ ويضع فى مجلد Windows الملف التالى :

C:\Windows\tt.exe

_ ويضع الملفات التالية فى مجلد Temp :

•<Temp>\b88d9jce.sys
•<Temp>\zjtxwj.dl
%Temp%\pfwwk.dll
%Temp%\ker1.tmp
%Temp%\ker2.tmp
%Temp%\ker3.tmp
%Temp%\ker4.tmp

_ أما فى مسجل النظام Registre يقوم الفيروس بعمل الاتى :

1-ينشىء مفاتيح التسجيل التالية :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000\Control
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN

2 - ينشىء قيم التسجيل الاتية :

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000]
Service = "trlmnczq"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ]
NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000]
Service = "trlmnczq"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ]
NextInstance = 0x00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN]
urlinfo = "a5dvgt.n"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run]
kava = "%System%\kavo.exe"
anhtaas = "%System%\cvsdfw.exe"

وخلى بالك من القيمة الاخيرة (السطر الاخير ) لذلك تجد أن هذا الفيروس يعمل دائما عند بداية تشغيل الويندوز .

3 - يقوم هذا الفيروس بتغير قيمة المفتاح التالى :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue =

ولذلك تجد خيارات المجلد (Option Folder ) غير موجودة .

ثانيا : صنع الباتش المضاد لهذا الفيروس

بعد ما عرفنا ملفات الفيروس و قيم و مفاتيح هذا الفيروس فى مسجل النظام Registre نستطيع أن نصع برنامج أو باتش مضاد له .

_ مخطط برنامجنا (الباتش المضاد للفيروس) :

1_ ايقاف حركة الفيروس لانه لا يمكن نزع أى شىء فى جهاز الكمبيوتر وهو فى حالة تشغيل ( مثلا :جرب حذف ملف mp3 وهو فى حاله تشغيل ...لن يحذف أبدا)

2- حذف ملفات الفيروس من مجلد Windows

3- حذف ملفات الفيروس من مجلد System32

4 -حذف ملفات الفيروس من مجلد Temp

5- حذف ملفات الفيروس من على جميع أجزاء القرص الصلب .

6 - حذف المفاتيح و القيم التى أنشئها الفيروس فى Registre

7 - أصلاح ما أفسدة الفيروس فى قيم Registre الاصلية

8- أظهار رسالة للمستخدم للخيار بين أنشاء ملف Autorun.inf للتحصين أم أنهاء البرنامج ( وضحت سابقا الفكرة من أنشاء هذا الملف على القرص الصلب ).

9 -انهاء البرنامج

أنتظرونى فى المشاركة القادمة أن شاء الله تعالى لكتابة أكواد الباتش المضاد لهذا الفيرس

من طرف **NEXT** في الأحد يناير 01, 2012 7:45 pm

أنتظرونى فى المشاركة القادمة أن شاء الله تعالى لكتابة أكواد الباتش المضاد لهذا الفيرس

منتظرين الابداع

مشكووووووووووووووووووووووور

- قم بفتح المفكرة Notepad

1 - ايقاف حركة الفيروس (سنقوم بايقاف تشغيل الملفات التنفيذية للفيروس )عن طريق هذا الامر

كود PHP:

الكود:: taskkill /f /im kavo.exe taskkill /f /im cvsdfw.exe taskkill /f /im kavo1.exe taskkill /f /im kavo0.exe

من خلال الكود السابق تم ايقاف الفيروس عن العمل أذن يتضح لك أن الامر taskkill /f /im هو المسؤل عن ايقاف أى ملف أذا كان فى حاله تشغيل ثم الحقنا بعده الملفات التنفيذية للفيروس .

2 - حذف ملفات الفيروس من من مجلد النظام و مجلد System32 و مجلد Temp

كود PHP:

الكود:: del %SystemRoot%tt.exe /f /a /q del %systemroot%system32kavo.exe /f /a /q del %systemroot%system32cvsdfw.exe /f /a /q del %systemroot%system32kavo0.exe /f /a /q del %systemroot%system32kavo1.exe /f /a /q del %systemroot%system32kavo0.dll /f /a /q del %systemroot%system32kavo1.dll /f /a /q del %systemroot%system32otrewe0.dll /f /a /q del %systemroot%system32otrewe1.dll /f /a /q del %systemroot%system32wincab.sys /f /a /q DEL %TEMP% /f /s /a /q

يلاحظ على الكود:

أمر الحذف هو del أما الامر %systemroot% هو مجلد النظام أى كان مكانه فى الهارد على C او D او F .....الخ .
أما F/ يقصد به حذف الملفات حتى أن كانت للقراءة فقط .
أما A/ يقصد به حذف الملفات على اساس الصفات .
أما Q/ يقصد به الحذف دون ظهور رسالة للمستخدم (هل تريد حذف هذا الملف أم لا).
أما S/ حذف من جميع المجلدات الفرعية.

وتلاحظ أيضا الامر فى السطر الاخر (DEL %TEMP% /f /s /a /q) حذفنا جميع ملفات المجلد TEMP

3 _ حذف ملفات الفيروس وملف Autorun.inf الموجود داخل كل بارتشن فى الجهاز عن طريق هذا الكود .

كود PHP:

الكود:: if exist c:autorun.inf attrib -a -s -r -h c:autorun.inf&del c:autorun.inf if exist d:autorun.inf attrib -a -s -r -h d:autorun.inf&del d:autorun.inf if exist e:autorun.inf attrib -a -s -r -h e:autorun.inf&del e:autorun.inf if exist f:autorun.inf attrib -a -s -r -h f:autorun.inf&del f:autorun.inf if exist g:autorun.inf attrib -a -s -r -h g:autorun.inf&del g:autorun.inf if exist h:autorun.inf attrib -a -s -r -h h:autorun.inf&del h:autorun.inf if exist i:autorun.inf attrib -a -s -r -h i:autorun.inf&del i:autorun.inf if exist j:autorun.inf attrib -a -s -r -h j:autorun.inf&del j:autorun.inf if exist k:autorun.inf attrib -a -s -r -h k:autorun.inf&del k:autorun.inf if exist l:autorun.inf attrib -a -s -r -h l:autorun.inf&del l:autorun.inf if exist m:autorun.inf attrib -a -s -r -h m:autorun.inf&del m:autorun.inf if exist n:autorun.inf attrib -a -s -r -h n:autorun.inf&del n:autorun.inf if exist c:ntdelect.com attrib -a -s -r -h c:ntdelect.com&del c:ntdelect.com if exist d:ntdelect.com attrib -a -s -r -h d:ntdelect.com&del d:ntdelect.com if exist e:ntdelect.com attrib -a -s -r -h e:ntdelect.com&del e:ntdelect.com if exist f:ntdelect.com attrib -a -s -r -h f:ntdelect.com&del f:ntdelect.com if exist g:ntdelect.com attrib -a -s -r -h g:ntdelect.com&del g:ntdelect.com if exist h:ntdelect.com attrib -a -s -r -h h:ntdelect.com&del h:ntdelect.com if exist i:ntdelect.com attrib -a -s -r -h i:ntdelect.com&del i:ntdelect.com if exist j:ntdelect.com attrib -a -s -r -h j:ntdelect.com&del j:ntdelect.com if exist k:ntdelect.com attrib -a -s -r -h k:ntdelect.com&del k:ntdelect.com if exist l:ntdelect.com attrib -a -s -r -h l:ntdelect.com&del l:ntdelect.com if exist m:ntdelect.com attrib -a -s -r -h m:ntdelect.com&del m:ntdelect.com if exist n:ntdelect.com attrib -a -s -r -h n:ntdelect.com&del n:ntdelect.com if exist c:300y.cmd attrib -a -s -r -h c:300y.cmd&del c:300y.cmd if exist d:300y.cmd attrib -a -s -r -h d:300y.cmd&del d:300y.cmd if exist e:300y.cmd attrib -a -s -r -h e:300y.cmd&del e:300y.cmd if exist f:300y.cmd attrib -a -s -r -h f:300y.cmd&del f:300y.cmd if exist g:300y.cmd attrib -a -s -r -h g:300y.cmd&del g:300y.cmd if exist h:300y.cmd attrib -a -s -r -h h:300y.cmd&del h:300y.cmd if exist i:300y.cmd attrib -a -s -r -h i:300y.cmd&del i:300y.cmd if exist j:300y.cmd attrib -a -s -r -h j:300y.cmd&del j:300y.cmd if exist k:300y.cmd attrib -a -s -r -h k:300y.cmd&del k:300y.cmd if exist l:300y.cmd attrib -a -s -r -h l:300y.cmd&del l:300y.cmd if exist m:300y.cmd attrib -a -s -r -h m:300y.cmd&del m:300y.cmd if exist n:300y.cmd attrib -a -s -r -h n:300y.cmd&del n:300y.cmd

طبعا عند تحليل الفيروس وجدنا أن هذا الفيروس يقوم بوضع ثلاث ملفات على جميع أجزاء القرص الصلب و هى ملف autorun.inf , وملف ntdelect.com , وملف 300y.cmd لذلك قمنا بحذفهم من خلال الكود السابق.

يلاحظ أيضا على الكود السابق :
_ الامر if exist جملة if ويقصد بها أذا كان الملف موجود نفذ الامر فقط
_ الامر attrib -a -s -r -h تم شرح هذا الامر فى المشاركة السابقة

4 - حذف المفاتيح التى أنشاها الفيروس فى ملف Registre عن طريق الكود التالى :

كود PHP:

الكود:: reg delete HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_TRLMNCZQ reg delete HKEY_LOCAL_MACHINESOFTWAREClassesCLSIDMADOWN

يلاحظ على الكود السابق :
_ الامر reg delete هو المسؤل عن حذف مفتاح فى مسجل النظام ثم بعد ذلك نتبعه بمسار المفتاح بالكامل
_ و يلاحظ أيضا أن اى مفتاح فرعى أو قيمة تحت هذا المفتاح سيحذف أيضا .

5 - حذف القيم التى أنشأها الفيروس فى Registre عن طريق هذا الكود :

كود PHP:

الكود:: REG delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v kava /f REG delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v anhtaas /f

عرفنا أن هذا الفيروس بيقوم بانشاء قيم هما kava و anhtaas تحت المفتاح Run و بهذا يستطيع الفيروس العمل مباشر فى كل مرة تفتح فيها جهازك .اذن المطلوب هو حذف تلك القيم و ليس حذف مفتاح Run بالكامل لانه يحتوى على بعض قيم النظام .

6 - أصلاح ما أفسدة الفيروس فى عن طريق هذا الكود :

كود PHP:

الكود:: REG add HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL /v CheckedValue /t REG_DWORD /d 1 /f

7 _ أظهار رسالة للمستخدم للخيار بين أنهاء البرنامج أو أنشاء ملف Autorun.inf على جميع أجزاء القرص الصلب للتحصين ضد هذه الفيروسات

كود PHP:

الكود:: echo. echo Are you sure u want to Create Autorun file in this dirve(Y/N) set/p "cho=>" if %cho%==Y goto create if %cho%==y goto create if %cho%==n goto END if %cho%==N goto END :ms cls color 0c echo. echo Invalid choice. echo. echo Please select the correct option (y) for create or (n) for end echo. echo. echo Are you sure u want to Create Autorun file in this dirve(Y/N) set/p "cho=>" if %cho%==Y goto create if %cho%==y goto create if %cho%==n goto END if %cho%==N goto END goto ms :create echo this is your autorun file >> AUTORUN.INF attrib AUTORUN.INF +r +s +h :end end

أذن الكود النهائى للبرنامج أو الباتش على النحو التالى

كود PHP:

الكود:: echo. echo Are you sure u want to Create Autorun file in this dirve(Y/N) set/p "cho=>" if %cho%==Y goto create if %cho%==y goto create if %cho%==n goto END if %cho%==N goto END :ms cls color 0c echo. echo Invalid choice. echo. echo Please select the correct option (y) for create or (n) for end echo. echo. echo Are you sure u want to Create Autorun file in this dirve(Y/N) set/p "cho=>" if %cho%==Y goto create if %cho%==y goto create if %cho%==n goto END if %cho%==N goto END goto ms :create echo this is your autorun file >> AUTORUN.INF attrib AUTORUN.INF +r +s +h :end end @echo off title benmaryam Autorun killer v1 color 0a echo. echo ................................................... echo Welcome To benmaryam Autorun killer v1 echo This Program Had Written To Remove (Autorun) Virus echo You Cannot remove this virus by installing echo New system copy. echo Just Use This Program To Remove It echo. echo . Craete by ahmed manna echo. echo . [email]Zakyshny@yahoo.com[/email] echo ................................................... echo Now Start To Fix Your System pause taskkill /f /im kavo.exe taskkill /f /im cvsdfw.exe taskkill /f /im kavo1.exe taskkill /f /im kavo0.exe del %SystemRoot%tt.exe /f /a /q del %systemroot%system32kavo.exe /f /a /q del %systemroot%system32cvsdfw.exe /f /a /q del %systemroot%system32kavo0.exe /f /a /q del %systemroot%system32kavo1.exe /f /a /q del %systemroot%system32kavo0.dll /f /a /q del %systemroot%system32kavo1.dll /f /a /q del %systemroot%system32otrewe0.dll /f /a /q del %systemroot%system32otrewe1.dll /f /a /q del %systemroot%system32wincab.sys /f /a /q DEL %TEMP% /f /s /a /q pause if exist c:autorun.inf attrib -a -s -r -h c:autorun.inf&del c:autorun.inf if exist d:autorun.inf attrib -a -s -r -h d:autorun.inf&del d:autorun.inf if exist e:autorun.inf attrib -a -s -r -h e:autorun.inf&del e:autorun.inf if exist f:autorun.inf attrib -a -s -r -h f:autorun.inf&del f:autorun.inf if exist g:autorun.inf attrib -a -s -r -h g:autorun.inf&del g:autorun.inf if exist h:autorun.inf attrib -a -s -r -h h:autorun.inf&del h:autorun.inf if exist i:autorun.inf attrib -a -s -r -h i:autorun.inf&del i:autorun.inf if exist j:autorun.inf attrib -a -s -r -h j:autorun.inf&del j:autorun.inf if exist k:autorun.inf attrib -a -s -r -h k:autorun.inf&del k:autorun.inf if exist l:autorun.inf attrib -a -s -r -h l:autorun.inf&del l:autorun.inf if exist m:autorun.inf attrib -a -s -r -h m:autorun.inf&del m:autorun.inf if exist n:autorun.inf attrib -a -s -r -h n:autorun.inf&del n:autorun.inf if exist c:ntdelect.com attrib -a -s -r -h c:ntdelect.com&del c:ntdelect.com if exist d:ntdelect.com attrib -a -s -r -h d:ntdelect.com&del d:ntdelect.com if exist e:ntdelect.com attrib -a -s -r -h e:ntdelect.com&del e:ntdelect.com if exist f:ntdelect.com attrib -a -s -r -h f:ntdelect.com&del f:ntdelect.com if exist g:ntdelect.com attrib -a -s -r -h g:ntdelect.com&del g:ntdelect.com if exist h:ntdelect.com attrib -a -s -r -h h:ntdelect.com&del h:ntdelect.com if exist i:ntdelect.com attrib -a -s -r -h i:ntdelect.com&del i:ntdelect.com if exist j:ntdelect.com attrib -a -s -r -h j:ntdelect.com&del j:ntdelect.com if exist k:ntdelect.com attrib -a -s -r -h k:ntdelect.com&del k:ntdelect.com if exist l:ntdelect.com attrib -a -s -r -h l:ntdelect.com&del l:ntdelect.com if exist m:ntdelect.com attrib -a -s -r -h m:ntdelect.com&del m:ntdelect.com if exist n:ntdelect.com attrib -a -s -r -h n:ntdelect.com&del n:ntdelect.com if exist c:300y.cmd attrib -a -s -r -h c:300y.cmd&del c:300y.cmd if exist d:300y.cmd attrib -a -s -r -h d:300y.cmd&del d:300y.cmd if exist e:300y.cmd attrib -a -s -r -h e:300y.cmd&del e:300y.cmd if exist f:300y.cmd attrib -a -s -r -h f:300y.cmd&del f:300y.cmd if exist g:300y.cmd attrib -a -s -r -h g:300y.cmd&del g:300y.cmd if exist h:300y.cmd attrib -a -s -r -h h:300y.cmd&del h:300y.cmd if exist i:300y.cmd attrib -a -s -r -h i:300y.cmd&del i:300y.cmd if exist j:300y.cmd attrib -a -s -r -h j:300y.cmd&del j:300y.cmd if exist k:300y.cmd attrib -a -s -r -h k:300y.cmd&del k:300y.cmd if exist l:300y.cmd attrib -a -s -r -h l:300y.cmd&del l:300y.cmd if exist m:300y.cmd attrib -a -s -r -h m:300y.cmd&del m:300y.cmd if exist n:300y.cmd attrib -a -s -r -h n:300y.cmd&del n:300y.cmd pasue reg delete HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_TRLMNCZQ reg delete HKEY_LOCAL_MACHINESOFTWAREClassesCLSIDMADOWN REG delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v kava /f REG delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v anhtaas /f REG add HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL /v CheckedValue /t REG_DWORD /d 1 /f echo. echo Are you sure u want to Create Autorun file in this dirve(Y/N) set/p "cho=>" if %cho%==Y goto create if %cho%==y goto create if %cho%==n goto END if %cho%==N goto END :ms cls color 0c echo. echo Invalid choice. echo. echo Please select the correct option (y) for create or (n) for end echo. echo. echo Are you sure u want to Create Autorun file in this dirve(Y/N) set/p "cho=>" if %cho%==Y goto create if %cho%==y goto create if %cho%==n goto END if %cho%==N goto END goto ms :create echo this is your autorun file >> AUTORUN.INF attrib AUTORUN.INF +r +s +h :end end

و بهذا نكون أنتهيا من تحليل هذا الفيروس و صنعنا الباتش المضاد له ..........

ه

اشكرك على اهتمامك أخى ايمن

استاذ احمد اعتزر عن كثرة الاسئلة
لا يوجد طريقة لتشغيل برنامج مكافح مصمم ب ملفات الدفععية باستخدام المفكرة
ب جافا اي تصميم تطبيق يحتوي على زر فحص الاقراص ويحتوي الزر على كود يقوم بتشغيل الملف المفكرة

ارجو فهم قصدي
واريد كود اضيفه الى اكواد السابقة تقوم تلقائيا عند تشغيل الملف لاول مرة باضافة برنامج على قائمة خيارات الاقراص وشكرا