الفيروس الجديد kk3.bat ... كيفية إزالته و كل شيئ عنه .... و الله خطير

السلام عليكم يا *****ين أعضاءا كنتم أم زوار

أولا و قبل كل شيئ أحببت أن أطرح هذا الموضوع عن الفايرس الخطير و المسمى kk3.BAT لأنه قد أصابني و قد أزلته بكل بساطة ...لذا قمت بجمع هذه الكمية المعتبرة من المعلومات حوله و ذلك للتوعة من مدى خطورته و عن كيفية إزالته و ماهي مخلفاته على الجهاز فأتمنا منكم الإستفادة من المعلومات .

في البداية و لكي تتضح الأمور شاهد الصورة التالية و و دقق في الكتابة جيدا :

هذه الصورة تأتي عند حدوث خلل في استقرار kk3.bat فعند إذن يظهر تقرير الخطأ هذا و هو يقول :
أننا لا نقوم عمدا بتجميع المعلومات حول ملفاتك , إسمك و عنوانك و عنوان بريدك الإلكتروني أو أي شيئ أخر من المعلومات الشخصية القابلة للتعريف........و كامل بيانات الملفات المفتوحة , و على الرغم من إحتمال إستخدام المعلومات لتحديد هويتك...غير أنها لن تستخدم...

و الله أعلم بما خفي . فما خفي كان أعضم

فمن هنا بدأنا نعرف سر الفايرس و كيف يستخدم و مدى خطورته
فكل من شاهد هذا التقرير من قبل معناه أن جهازه مصاب – ممكن لا يأتي هذا التقرير –

الأن سأعطيكم لمحة تاريخية عن الفايرس

إسم الملف الأصلي و الحقيقي kk3.bat شوهد للمرة الأولى في 30 أوت 2008 في المناطق التالية :

• المملكة المتحذة : 30 أوت 2008
• أوكرانيا : 31 أوت 2008
• جنوب إفريقيا : 1 سبتمبر 2008
• إسبانيا : 22 سبتمبر 2008


الأسماء المستعارة للفايرس – فهو كالسيدا حفظنا الله و إياكم منه –
فـــــ KK3.BAT يمكن أيضا استخدام أسماء الملفات التالية :

• DDR.EXE
• HELP.EXE
• DPTTWK~1.BAT
• 52508474.EXE
• CKVO.EXE
• 90747579.EXE
• RS.CMD
• 90787776.EXE
وكلها أسماء ملفات معروفة لدى الجميع

حجم الفايروس

يمكن أن يكون بالأحجام التالية :

• 91,848 bytes
• 90,688 bytes
• 91,136 bytes
• 90,556 bytes

المنتج و الصانع و النسخة :
مجهولة لحد الأن.

نوع الملف :
يأتي في بعض الأحيان على شكل ملف قابل لتنفيذ
و ينتقل بواسطة الشبكة و عن طريق الذاكرة

ملف النشاط

واحد أو أكثر من الملفات KK3.BAT يخلق أو يحذف ، أو ينسخ أويحرف التحركات التالية :

• c:\windows\system32\drivers\klif.sys
• c:\windows\system32\ckvo.exe
• c:\windows\system32\ckvo0.dll
• c:\kk3.bat
• c:\windows\system32\ckvo.exe to c:\kk3.bat
• c:\autorun.in
• c:\docume~1\user\locals~1\temp\help1.rar
• c:\autoexec.bat
• c:\docume~1\user\locals~1\temp\help.exe

نشاطه في سجل النظام

فـــــ KK3.BAT يخلق أو يعدل مفاتيح التسجيل والقيم التالية :


• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run kamsoft C:\WINDOWS\system32\ckvo.exe

• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced Hidden value

• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced ShowSuperHidden value

• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer NoDriveTypeAutoRun [REG_DWORD, value: 00000091]

مواقع النشاط

KK3.BAT يتفاعل مع المواقع على شبكة الإنترنت و يستغل الثغرات التالية :

• TCP:127.0.0.1:1107 Port:19
• Port 80 IP:60.169.1.92
• TCP:127.0.0.1:1110 Port:18

كيفية تفاديه و كيفية التخلص منه إن وجد

على فكرة ممكن لبعض برامج مكافحة الأوتوران -- autorun -- إكتشافه بس البعض و ليس الكل

لاحظتو أن برنامج USB Disk Security 5.1.0.8 يمكنه إكتشافه

نبدأ البرامج بهذه الأداة

التحميل من هنا

و كذلك هذا البرنامج

التحميل من هنا

هذه البرامج لإزالته و لتفاديه من الشبكة

أما لتفادي وصوله إليك عن طريق الفلاش ميموري فإليك USB Disk Security 5.1.0.8

باسوورد فتح جميع الملفات
كود:
islam.s@absba

أتمنا أنكم قد إستفدتم