تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

[احمد مناع]

بسم الله الرحمن الرحيم

أخوانى أعضاء المنتدى الكريم ..... و السادة الزائرين الكرام ,

السلام عليكم و رحمة الله و بركاته

_ أن المقصود هنا بتحليل الفيروسات ليس كما هو متعارف عليه فى علم الهندسة العكسية أى تفكيك الفيروس ببرامج خاصة لمعرفة ما يحتويه من أكواد ولكن المقصود هو معرفة ما هو هذا الفيروس ؟ كيف يعمل ؟ ما هى ملفاته ؟ أين ينشىء هذه الملفات ؟ .......الخ .

_و أيضا قبل البدء فى تحليل هذا الفيروس و تصنيع باتش مضاد له أرجوا أن تكون قد أطلعت على الموضوع التالى :


http://www.ebnmaryam.com/vb/t167381.html

ففى الموضوع المشار اليه أعلاه تعرفنا على طبيعة فيروسات Autorun ولماذا تم تسميتها بهذا الاسم ؟ و كيف تعمل ؟ وأين تنشر ملفاتها ؟.

_ كما تعلمنا سويا انشاء برنامج صغير أو أداه لحذف أهم ملف من ملفات هذه الفيروسات الا و هو ملف التشغيل التلقائى Autorun.inf ثم نقوم بعد ذلك بحذف باقى ملفات الفيروس يدويا ولكن هناك بعض الفيروسات تقوم بكتابة ملف التشغيل التلقائى مرة أخرى عندما يتم حذف الاول .وتعلمنا أيضا كيفية اضافة أمر لبرنامجنا فى كليك يمين للماوس .

أما فى هذه المشاركة و المشاركات القادمة أن شاء الله سنقوم سويا بتحليل بعض الفيروسات حتى نستطيع تصنيع المضاد له و اضافته فى برنامجنا السابق و هذه هى الفكرة التى يقوم عليها أى مكافح فيروسات .

فجميع برامج مكافحة الفيروسات تحتاج الى عملية تحديث قاعدة البيانات الخاصة بها من 3 الى 5 أيام على الاكثر حتى تستطيع مكافحة الفيروسات الجديدة .و الفكرة ان مبرمجين هذه البرامج يقوموا بتحليل الفيروسات ثم بعد ذلك يتم وضع ملفات التحديث اللازمة لبرامجهم .

_ ومن هذا المنطلق سنقوم نحن أيضا بتحليل بعض هذه الفيروسات لتحديث برنامجنا فبدلا من أن يقوم برنامجنا بالقضاء على ملف واحد من ملفات الفيروس سيقوم هو بحذف جميع ملفات الفيروس .

ليس هذا فقط بل أيضا سيقوم برنامجنا بحذف المفاتيح و القيم التى أنشئها هذا الفيروس فى ملف الريجستير .
وأيضا سيقوم برنامجنا باصلاح ما أفسده هذا الفيروس دون تدخل منا .

أولا : تحليل فيروس kavo.exe

_ تعرف على الفيروس :

الاصدار الاول من هذا الفيروس ظهر فى تقرير تحليل الفيروسات لموقع ThreatExpert فى 2 ديسمبر 2009 و يمكنك الاطلاع على التقرير الاصلى من هنا .

أما الاصدار الثانى لهذا الفيروس ظهر فى 22 مارس 2010 كما يمكنك الاطلاع على التقرير الاصلى من هنا

يقوم هذا الفيروس بإنشاء ملف تشغيل آلي Autorun.inf، ثم يقوم بتحميل بعض الملفات kavo0.dll ، otrewe0.dll في مساحة العنوان من مستكشف النوافذ .ويقوم بتنزيل ملفات خبيثة كلما أتصلت بالانترنت .

_ الاسماء المختلفة للفيروس :

يعرف هذا الفيروس أيضا بأسماء عديدة على حسب شركات مكافة الفيروسات وهم على النحو التالى :

HeurEngine.Packed-NsAnti [PCTools]
Trojan.Packed.NsAnti [Symantec]
Trojan-GameThief.Win32.Magania.apca [Kaspersky Lab]
Generic PWS.ak [McAfee]
Mal/Frethog-B, Mal/EncPk-EF [Sophos]
Worm:Win32/Taterf.B [Microsoft]
Win-Trojan/Magania.122961.B [AhnLab]

_ حركة الفيروس و ملفاته :

_ هذا الفيروس يضع الملفين التاليين في جميع أجزاء الهارد الخاص بك(C,D,E....) وفي كل قرص قابل للإزالة.

autorun.inf
ntdelect.com
C:\300y.cmd

_كما يضع الملفات التالية فى مجلد System32 :

C:\Windows\System32\kavo.exe
C:\Windows\System32\cvsdfw.exe
C:\Windows\System32\kavo0.dll
C:\Windows\System32\kavo1.dll
C:\Windows\System32\otrewe0.dll
C:\Windows\System32\otrewe1.dll
C:\Windows\System32\kavo1.exe
C:\Windows\System32\kavo0.exe
C:\Windows\System32\wincab.sys

_ ويضع فى مجلد Windows الملف التالى :

C:\Windows\tt.exe

_ ويضع الملفات التالية فى مجلد Temp :

•<Temp>\b88d9jce.sys
•<Temp>\zjtxwj.dl
%Temp%\pfwwk.dll
%Temp%\ker1.tmp
%Temp%\ker2.tmp
%Temp%\ker3.tmp
%Temp%\ker4.tmp

_ أما فى مسجل النظام Registre يقوم الفيروس بعمل الاتى :

1-ينشىء مفاتيح التسجيل التالية :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000\Control
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN

2 - ينشىء قيم التسجيل الاتية :

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000]
Service = "trlmnczq"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ]
NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000]
Service = "trlmnczq"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ]
NextInstance = 0x00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN]
urlinfo = "a5dvgt.n"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run]
kava = "%System%\kavo.exe"
anhtaas = "%System%\cvsdfw.exe"

وخلى بالك من القيمة الاخيرة (السطر الاخير ) لذلك تجد أن هذا الفيروس يعمل دائما عند بداية تشغيل الويندوز .

3 - يقوم هذا الفيروس بتغير قيمة المفتاح التالى :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue =

ولذلك تجد خيارات المجلد (Option Folder ) غير موجودة .

ثانيا : صنع الباتش المضاد لهذا الفيروس

بعد ما عرفنا ملفات الفيروس و قيم و مفاتيح هذا الفيروس فى مسجل النظام Registre نستطيع أن نصع برنامج أو باتش مضاد له .

_ مخطط برنامجنا (الباتش المضاد للفيروس) :

1_ ايقاف حركة الفيروس لانه لا يمكن نزع أى شىء فى جهاز الكمبيوتر وهو فى حالة تشغيل ( مثلا :جرب حذف ملف mp3 وهو فى حاله تشغيل ...لن يحذف أبدا)

2- حذف ملفات الفيروس من مجلد Windows

3- حذف ملفات الفيروس من مجلد System32

4 -حذف ملفات الفيروس من مجلد Temp

5- حذف ملفات الفيروس من على جميع أجزاء القرص الصلب .

6 - حذف المفاتيح و القيم التى أنشئها الفيروس فى Registre

7 - أصلاح ما أفسدة الفيروس فى قيم Registre الاصلية

8- أظهار رسالة للمستخدم للخيار بين أنشاء ملف Autorun.inf للتحصين أم أنهاء البرنامج ( وضحت سابقا الفكرة من أنشاء هذا الملف على القرص الصلب ).

9 -انهاء البرنامج

نبدا فى التصميم ...... سأقوم بشرح الاكواد الجديدة فقط ( لانى أعلم جيدا أنك قد فهمت المشاركة السابقة )

- قم بفتح المفكرة Notepad

1 - ايقاف حركة الفيروس (سنقوم بايقاف تشغيل الملفات التنفيذية للفيروس )عن طريق هذا الامر

كود PHP:

taskkill /f /im kavo.exe
taskkill /f /im cvsdfw.exe
taskkill /f /im kavo1.exe
taskkill /f /im kavo0.exe 


من خلال الكود السابق تم ايقاف الفيروس عن العمل أذن يتضح لك أن الامر taskkill /f /im هو المسؤل عن ايقاف أى ملف أذا كان فى حاله تشغيل ثم الحقنا بعده الملفات التنفيذية للفيروس .

2 - حذف ملفات الفيروس من من مجلد النظام و مجلد System32 و مجلد Temp

كود PHP:

del %SystemRoot%\tt.exe /f /a /q
del %systemroot%\system32\kavo.exe /f /a /q
del %systemroot%\system32\cvsdfw.exe /f /a /q
del %systemroot%\system32\kavo0.exe /f /a /q
del %systemroot%\system32\kavo1.exe /f /a /q
del %systemroot%\system32\kavo0.dll /f /a /q
del %systemroot%\system32\kavo1.dll /f /a /q
del %systemroot%\system32\otrewe0.dll /f /a /q
del %systemroot%\system32\otrewe1.dll /f /a /q
del %systemroot%\system32\wincab.sys /f /a /q
DEL %TEMP% /f /s /a /q 


يلاحظ على الكود:

أمر الحذف هو del أما الامر %systemroot% هو مجلد النظام أى كان مكانه فى الهارد على C او D او F .....الخ .
أما F/ يقصد به حذف الملفات حتى أن كانت للقراءة فقط .
أما A/ يقصد به حذف الملفات على اساس الصفات .
أما Q/ يقصد به الحذف دون ظهور رسالة للمستخدم (هل تريد حذف هذا الملف أم لا).
أما S/ حذف من جميع المجلدات الفرعية.

وتلاحظ أيضا الامر فى السطر الاخر (DEL %TEMP% /f /s /a /q) حذفنا جميع ملفات المجلد TEMP

3 _ حذف ملفات الفيروس وملف Autorun.inf الموجود داخل كل بارتشن فى الجهاز عن طريق هذا الكود .

كود PHP:

if exist c:\autorun.inf attrib -a -s -r -h c:\autorun.inf&del c:\autorun.inf
if exist d:\autorun.inf attrib -a -s -r -h d:\autorun.inf&del d:\autorun.inf
if exist e:\autorun.inf attrib -a -s -r -h e:\autorun.inf&del e:\autorun.inf
if exist f:\autorun.inf attrib -a -s -r -h f:\autorun.inf&del f:\autorun.inf
if exist g:\autorun.inf attrib -a -s -r -h g:\autorun.inf&del g:\autorun.inf
if exist h:\autorun.inf attrib -a -s -r -h h:\autorun.inf&del h:\autorun.inf
if exist i:\autorun.inf attrib -a -s -r -h i:\autorun.inf&del i:\autorun.inf
if exist j:\autorun.inf attrib -a -s -r -h j:\autorun.inf&del j:\autorun.inf
if exist k:\autorun.inf attrib -a -s -r -h k:\autorun.inf&del k:\autorun.inf
if exist l:\autorun.inf attrib -a -s -r -h l:\autorun.inf&del l:\autorun.inf
if exist m:\autorun.inf attrib -a -s -r -h m:\autorun.inf&del m:\autorun.inf
if exist n:\autorun.inf attrib -a -s -r -h n:\autorun.inf&del n:\autorun.inf

if exist c:\ntdelect.com attrib -a -s -r -h c:\ntdelect.com&del c:\ntdelect.com
if exist d:\ntdelect.com attrib -a -s -r -h d:\ntdelect.com&del d:\ntdelect.com
if exist e:\ntdelect.com attrib -a -s -r -h e:\ntdelect.com&del e:\ntdelect.com
if exist f:\ntdelect.com attrib -a -s -r -h f:\ntdelect.com&del f:\ntdelect.com
if exist g:\ntdelect.com attrib -a -s -r -h g:\ntdelect.com&del g:\ntdelect.com
if exist h:\ntdelect.com attrib -a -s -r -h h:\ntdelect.com&del h:\ntdelect.com
if exist i:\ntdelect.com attrib -a -s -r -h i:\ntdelect.com&del i:\ntdelect.com
if exist j:\ntdelect.com attrib -a -s -r -h j:\ntdelect.com&del j:\ntdelect.com
if exist k:\ntdelect.com attrib -a -s -r -h k:\ntdelect.com&del k:\ntdelect.com
if exist l:\ntdelect.com attrib -a -s -r -h l:\ntdelect.com&del l:\ntdelect.com
if exist m:\ntdelect.com attrib -a -s -r -h m:\ntdelect.com&del m:\ntdelect.com
if exist n:\ntdelect.com attrib -a -s -r -h n:\ntdelect.com&del n:\ntdelect.com

if exist c:\300y.cmd attrib -a -s -r -h c:\300y.cmd&del c:\300y.cmd
if exist d:\300y.cmd attrib -a -s -r -h d:\300y.cmd&del d:\300y.cmd
if exist e:\300y.cmd attrib -a -s -r -h e:\300y.cmd&del e:\300y.cmd
if exist f:\300y.cmd attrib -a -s -r -h f:\300y.cmd&del f:\300y.cmd
if exist g:\300y.cmd attrib -a -s -r -h g:\300y.cmd&del g:\300y.cmd
if exist h:\300y.cmd attrib -a -s -r -h h:\300y.cmd&del h:\300y.cmd
if exist i:\300y.cmd attrib -a -s -r -h i:\300y.cmd&del i:\300y.cmd
if exist j:\300y.cmd attrib -a -s -r -h j:\300y.cmd&del j:\300y.cmd
if exist k:\300y.cmd attrib -a -s -r -h k:\300y.cmd&del k:\300y.cmd
if exist l:\300y.cmd attrib -a -s -r -h l:\300y.cmd&del l:\300y.cmd
if exist m:\300y.cmd attrib -a -s -r -h m:\300y.cmd&del m:\300y.cmd
if exist n:\300y.cmd attrib -a -s -r -h n:\300y.cmd&del n:\300y.cmd 


طبعا عند تحليل الفيروس وجدنا أن هذا الفيروس يقوم بوضع ثلاث ملفات على جميع أجزاء القرص الصلب و هى ملف autorun.inf , وملف ntdelect.com , وملف 300y.cmd لذلك قمنا بحذفهم من خلال الكود السابق.

يلاحظ أيضا على الكود السابق :
_ الامر if exist جملة if ويقصد بها أذا كان الملف موجود نفذ الامر فقط
_ الامر attrib -a -s -r -h تم شرح هذا الامر فى المشاركة السابقة

4 - حذف المفاتيح التى أنشاها الفيروس فى ملف Registre عن طريق الكود التالى :

كود PHP:

reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN 


يلاحظ على الكود السابق :
_ الامر reg delete هو المسؤل عن حذف مفتاح فى مسجل النظام ثم بعد ذلك نتبعه بمسار المفتاح بالكامل
_ و يلاحظ أيضا أن اى مفتاح فرعى أو قيمة تحت هذا المفتاح سيحذف أيضا .

5 - حذف القيم التى أنشأها الفيروس فى Registre عن طريق هذا الكود :

كود PHP:

REG delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v kava /f
REG delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v anhtaas /f 


عرفنا أن هذا الفيروس بيقوم بانشاء قيم هما kava و anhtaas تحت المفتاح Run و بهذا يستطيع الفيروس العمل مباشر فى كل مرة تفتح فيها جهازك .اذن المطلوب هو حذف تلك القيم و ليس حذف مفتاح Run بالكامل لانه يحتوى على بعض قيم النظام .

6 - أصلاح ما أفسدة الفيروس فى عن طريق هذا الكود :

كود PHP:

REG add HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f 


7 _ أظهار رسالة للمستخدم للخيار بين أنهاء البرنامج أو أنشاء ملف Autorun.inf على جميع أجزاء القرص الصلب للتحصين ضد هذه الفيروسات

كود PHP:

echo. 
echo Are you sure u want to Create Autorun file in this dirve(Y/N)    
set/p "cho=>"    
if %cho%==Y goto create    
if %cho%==y goto create    
if %cho%==n goto END    
if %cho%==N goto END  
:ms  
cls 
color 0c 
echo.  
echo Invalid choice.  
echo. 
echo Please select the correct option (y) for create or (n) for end 
echo. 
echo. 
echo Are you sure u want to Create Autorun file in this dirve(Y/N)    
set/p "cho=>"    
if %cho%==Y goto create    
if %cho%==y goto create    
if %cho%==n goto END    
if %cho%==N goto END   
goto ms 
:create 
echo this is your autorun file >> AUTORUN.INF 
attrib AUTORUN.INF +r +s +h 
:end 
end 


أذن الكود النهائى للبرنامج أو الباتش على النحو التالى

كود PHP:

echo. 
echo Are you sure u want to Create Autorun file in this dirve(Y/N)    
set/p "cho=>"    
if %cho%==Y goto create    
if %cho%==y goto create    
if %cho%==n goto END    
if %cho%==N goto END  
:ms  
cls 
color 0c 
echo.  
echo Invalid choice.  
echo. 
echo Please select the correct option (y) for create or (n) for end 
echo. 
echo. 
echo Are you sure u want to Create Autorun file in this dirve(Y/N)    
set/p "cho=>"    
if %cho%==Y goto create    
if %cho%==y goto create    
if %cho%==n goto END    
if %cho%==N goto END   
goto ms 
:create 
echo this is your autorun file >> AUTORUN.INF 
attrib AUTORUN.INF +r +s +h 
:end 
end  @echo off
title benmaryam Autorun killer v1
color 0a
echo.
echo ...................................................
echo Welcome To benmaryam Autorun killer v1
echo This Program Had Written To Remove (Autorun) Virus
echo You Cannot remove this virus by installing
echo New system copy.
echo Just Use This Program To Remove It
echo.
echo .              Craete by ahmed manna
echo.
echo .               [email]Zakyshny@yahoo.com[/email]
echo ...................................................
echo Now Start To Fix Your System
pause
taskkill /f /im kavo.exe
taskkill /f /im cvsdfw.exe
taskkill /f /im kavo1.exe
taskkill /f /im kavo0.exe

del %SystemRoot%\tt.exe /f /a /q
del %systemroot%\system32\kavo.exe /f /a /q
del %systemroot%\system32\cvsdfw.exe /f /a /q
del %systemroot%\system32\kavo0.exe /f /a /q
del %systemroot%\system32\kavo1.exe /f /a /q
del %systemroot%\system32\kavo0.dll /f /a /q
del %systemroot%\system32\kavo1.dll /f /a /q
del %systemroot%\system32\otrewe0.dll /f /a /q
del %systemroot%\system32\otrewe1.dll /f /a /q
del %systemroot%\system32\wincab.sys /f /a /q
DEL %TEMP% /f /s /a /q
pause
if exist c:\autorun.inf attrib -a -s -r -h c:\autorun.inf&del c:\autorun.inf
if exist d:\autorun.inf attrib -a -s -r -h d:\autorun.inf&del d:\autorun.inf
if exist e:\autorun.inf attrib -a -s -r -h e:\autorun.inf&del e:\autorun.inf
if exist f:\autorun.inf attrib -a -s -r -h f:\autorun.inf&del f:\autorun.inf
if exist g:\autorun.inf attrib -a -s -r -h g:\autorun.inf&del g:\autorun.inf
if exist h:\autorun.inf attrib -a -s -r -h h:\autorun.inf&del h:\autorun.inf
if exist i:\autorun.inf attrib -a -s -r -h i:\autorun.inf&del i:\autorun.inf
if exist j:\autorun.inf attrib -a -s -r -h j:\autorun.inf&del j:\autorun.inf
if exist k:\autorun.inf attrib -a -s -r -h k:\autorun.inf&del k:\autorun.inf
if exist l:\autorun.inf attrib -a -s -r -h l:\autorun.inf&del l:\autorun.inf
if exist m:\autorun.inf attrib -a -s -r -h m:\autorun.inf&del m:\autorun.inf
if exist n:\autorun.inf attrib -a -s -r -h n:\autorun.inf&del n:\autorun.inf

if exist c:\ntdelect.com attrib -a -s -r -h c:\ntdelect.com&del c:\ntdelect.com
if exist d:\ntdelect.com attrib -a -s -r -h d:\ntdelect.com&del d:\ntdelect.com
if exist e:\ntdelect.com attrib -a -s -r -h e:\ntdelect.com&del e:\ntdelect.com
if exist f:\ntdelect.com attrib -a -s -r -h f:\ntdelect.com&del f:\ntdelect.com
if exist g:\ntdelect.com attrib -a -s -r -h g:\ntdelect.com&del g:\ntdelect.com
if exist h:\ntdelect.com attrib -a -s -r -h h:\ntdelect.com&del h:\ntdelect.com
if exist i:\ntdelect.com attrib -a -s -r -h i:\ntdelect.com&del i:\ntdelect.com
if exist j:\ntdelect.com attrib -a -s -r -h j:\ntdelect.com&del j:\ntdelect.com
if exist k:\ntdelect.com attrib -a -s -r -h k:\ntdelect.com&del k:\ntdelect.com
if exist l:\ntdelect.com attrib -a -s -r -h l:\ntdelect.com&del l:\ntdelect.com
if exist m:\ntdelect.com attrib -a -s -r -h m:\ntdelect.com&del m:\ntdelect.com
if exist n:\ntdelect.com attrib -a -s -r -h n:\ntdelect.com&del n:\ntdelect.com

if exist c:\300y.cmd attrib -a -s -r -h c:\300y.cmd&del c:\300y.cmd
if exist d:\300y.cmd attrib -a -s -r -h d:\300y.cmd&del d:\300y.cmd
if exist e:\300y.cmd attrib -a -s -r -h e:\300y.cmd&del e:\300y.cmd
if exist f:\300y.cmd attrib -a -s -r -h f:\300y.cmd&del f:\300y.cmd
if exist g:\300y.cmd attrib -a -s -r -h g:\300y.cmd&del g:\300y.cmd
if exist h:\300y.cmd attrib -a -s -r -h h:\300y.cmd&del h:\300y.cmd
if exist i:\300y.cmd attrib -a -s -r -h i:\300y.cmd&del i:\300y.cmd
if exist j:\300y.cmd attrib -a -s -r -h j:\300y.cmd&del j:\300y.cmd
if exist k:\300y.cmd attrib -a -s -r -h k:\300y.cmd&del k:\300y.cmd
if exist l:\300y.cmd attrib -a -s -r -h l:\300y.cmd&del l:\300y.cmd
if exist m:\300y.cmd attrib -a -s -r -h m:\300y.cmd&del m:\300y.cmd
if exist n:\300y.cmd attrib -a -s -r -h n:\300y.cmd&del n:\300y.cmd

pasue

reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN
REG delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v kava /f
REG delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v anhtaas /f
REG add HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f

echo. 
echo Are you sure u want to Create Autorun file in this dirve(Y/N)    
set/p "cho=>"    
if %cho%==Y goto create    
if %cho%==y goto create    
if %cho%==n goto END    
if %cho%==N goto END  
:ms  
cls 
color 0c 
echo.  
echo Invalid choice.  
echo. 
echo Please select the correct option (y) for create or (n) for end 
echo. 
echo. 
echo Are you sure u want to Create Autorun file in this dirve(Y/N)    
set/p "cho=>"    
if %cho%==Y goto create    
if %cho%==y goto create    
if %cho%==n goto END    
if %cho%==N goto END   
goto ms 
:create 
echo this is your autorun file >> AUTORUN.INF 
attrib AUTORUN.INF +r +s +h 
:end 
end 


و بهذا نكون أنتهيا من تحليل هذا الفيروس و صنعنا الباتش المضاد له ...........و الباتش بالكامل فى المرفقات

[طائر السنونو]

الشكر لا يكفي ولا يوفيك حقك
شكر الله لك ما تبذله من جهد
بورك فيك ونفع بك

تحياتي أخي الحبيب

[احمد مناع]

اقتباس

الشكر لا يكفي ولا يوفيك حقك
شكر الله لك ما تبذله من جهد
بورك فيك ونفع بك

تحياتي أخي الحبيب

أخى العزيز د/ مصطفى

مهْما وَصَفْتُ سَتبْدو فوقَ ما أصِفُ

[سيف الحتف]

جزاكم الله خيرا ونفع بكم الاسلام والمسلمين