الموضوع: الفيروس الجديد kk3.bat ... كيفية إزالته و كل شيئ عنه .... و الله خطير
عرض مشاركة واحدة
  #1  
قديم 09-29-2008, 01:12 AM
الصورة الرمزية العاشق 2005  
رقـم العضويــة: 365
تاريخ التسجيل: Sep 2008
المشـــاركـات: 94,808
نقـــاط الخبـرة: 85
الأوسمة والجوائزالأوسمة
افتراضي الفيروس الجديد kk3.bat ... كيفية إزالته و كل شيئ عنه .... و الله خطير









السلام عليكم يا *****ين أعضاءا كنتم أم زوار





أولا و قبل كل شيئ أحببت أن أطرح هذا الموضوع عن الفايرس الخطير و المسمى kk3.BAT لأنه قد أصابني و قد أزلته بكل بساطة ...لذا قمت بجمع هذه الكمية المعتبرة من المعلومات حوله و ذلك للتوعة من مدى خطورته و عن كيفية إزالته و ماهي مخلفاته على الجهاز فأتمنا منكم الإستفادة من المعلومات .





في البداية و لكي تتضح الأمور شاهد الصورة التالية و و دقق في الكتابة جيدا :


هذه الصورة تأتي عند حدوث خلل في استقرار kk3.bat فعند إذن يظهر تقرير الخطأ هذا و هو يقول :
أننا لا نقوم عمدا بتجميع المعلومات حول ملفاتك , إسمك و عنوانك و عنوان بريدك الإلكتروني أو أي شيئ أخر من المعلومات الشخصية القابلة للتعريف........و كامل بيانات الملفات المفتوحة , و على الرغم من إحتمال إستخدام المعلومات لتحديد هويتك...غير أنها لن تستخدم...

و الله أعلم بما خفي . فما خفي كان أعضم

فمن هنا بدأنا نعرف سر الفايرس و كيف يستخدم و مدى خطورته
فكل من شاهد هذا التقرير من قبل معناه أن جهازه مصاب – ممكن لا يأتي هذا التقرير –




الأن سأعطيكم لمحة تاريخية عن الفايرس

إسم الملف الأصلي و الحقيقي kk3.bat شوهد للمرة الأولى في 30 أوت 2008 في المناطق التالية :

• المملكة المتحذة : 30 أوت 2008
• أوكرانيا : 31 أوت 2008
• جنوب إفريقيا : 1 سبتمبر 2008
• إسبانيا : 22 سبتمبر 2008


الأسماء المستعارة للفايرس – فهو كالسيدا حفظنا الله و إياكم منه –
فـــــ KK3.BAT يمكن أيضا استخدام أسماء الملفات التالية :

• DDR.EXE
• HELP.EXE
• DPTTWK~1.BAT
• 52508474.EXE
• CKVO.EXE
• 90747579.EXE
• RS.CMD
• 90787776.EXE
وكلها أسماء ملفات معروفة لدى الجميع



حجم الفايروس

يمكن أن يكون بالأحجام التالية :

• 91,848 bytes
• 90,688 bytes
• 91,136 bytes
• 90,556 bytes



المنتج و الصانع و النسخة :
مجهولة لحد الأن.

نوع الملف :
يأتي في بعض الأحيان على شكل ملف قابل لتنفيذ
و ينتقل بواسطة الشبكة و عن طريق الذاكرة




ملف النشاط

واحد أو أكثر من الملفات KK3.BAT يخلق أو يحذف ، أو ينسخ أويحرف التحركات التالية :

• c:\windows\system32\drivers\klif.sys
• c:\windows\system32\ckvo.exe
• c:\windows\system32\ckvo0.dll
• c:\kk3.bat
• c:\windows\system32\ckvo.exe to c:\kk3.bat
• c:\autorun.in
• c:\docume~1\user\locals~1\temp\help1.rar
• c:\autoexec.bat
• c:\docume~1\user\locals~1\temp\help.exe



نشاطه في سجل النظام

فـــــ KK3.BAT يخلق أو يعدل مفاتيح التسجيل والقيم التالية :


• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run kamsoft C:\WINDOWS\system32\ckvo.exe

• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced Hidden value

• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced ShowSuperHidden value

• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer NoDriveTypeAutoRun [REG_DWORD, value: 00000091]




مواقع النشاط

KK3.BAT يتفاعل مع المواقع على شبكة الإنترنت و يستغل الثغرات التالية :

• TCP:127.0.0.1:1107 Port:19
• Port 80 IP:60.169.1.92
• TCP:127.0.0.1:1110 Port:18



كيفية تفاديه و كيفية التخلص منه إن وجد

على فكرة ممكن لبعض برامج مكافحة الأوتوران -- autorun -- إكتشافه بس البعض و ليس الكل


لاحظتو أن برنامج USB Disk Security 5.1.0.8 يمكنه إكتشافه

نبدأ البرامج بهذه الأداة

التحميل من هنا

و كذلك هذا البرنامج

التحميل من هنا

هذه البرامج لإزالته و لتفاديه من الشبكة

أما لتفادي وصوله إليك عن طريق الفلاش ميموري فإليك USB Disk Security 5.1.0.8





باسوورد فتح جميع الملفات
كود:
islam.s@absba



أتمنا أنكم قد إستفدتم