Board logo

标题: 報一個病毒BOLE.INI 管理員請進,重要信息, [打印本页]
作者: wpsni     时间: 2008-2-29 09:23    标题: 報一個病毒BOLE.INI 管理員請進,重要信息,

這個程式在
C:\WINDOWS\SYSTEM32下,
文件名BOLE.INI

打開內容
可以看到

VERSION=2008-2-3
GET=http://www.***.com/aa.txt
然後打開,這個aa.txt文件可以看到



VERSION=2008-2-3

[URL]
1=http://www.***.com/xx/1.exe
2=http://www.***.com/xx/2.exe
3=http://www.***.com/xx/3.exe
4=http://www.***.com/xx/4.exe
5=http://www.***.com/xx/5.exe
6=http://www.***.com/xx/6.exe
7=http://www.***.com/xx/7.exe
8=http://www.***.com/xx/8.exe
9=http://www.***.com/xx/9.exe
10=http://www.***.com/xx/10.exe
11=http://www.***.com/xx/11.exe
12=http://www.***.com/xx/12.exe
13=http://www.***.com/xx/13.exe
14=http://www.***.com/xx/14.exe
15=http://www.***.com/xx/15.exe
16=http://www.***.com/xx/16.exe
17=http://www.***.com/xx/17.exe
18=http://www.***.com/xx/18.exe
19=http://www.***.com/xx/19.exe
20=http://www.***.com/xx/20.exe
21=http://www.***.com/xx/21.exe
22=http://www.***.com/xx/22.exe
23=http://www.***.com/xx/23.exe
24=http://www.***.com/xx/24.exe
25=http://www.***.com/xx/25.exe
26=http://www.***.com/xx/26.exe
27=http://www.***.com/xx/27.exe
28=http://www.***.com/xx/28.exe
29=http://www.***.com/xx/29.exe
30=http://www.***.com/xx/30.exe



報道結束

[[i] Last edited by Legend on 2008-2-29 at 11:03 [/i]]
作者: wpsni     时间: 2008-2-29 09:24
看了一下這個文件的生成時間是今天
作者: wpsni     时间: 2008-2-29 09:26
一、“桌面伪装木马23552”(Win32.Troj.Downloader.ex.23552)  威胁级别:★

    病毒进入系统后,在系统盘的%WINDOWS%\system32\目录下释放出BOLE.ini、explorer.exe、netsrv.dll等三个病毒文件。其中explorer.exe是病毒主程序,在释放完毕后,病毒就会把此文件的相关信息写入系统注册表的启动项,这样以后它就可随系统自动启动,由于这个病毒文件与系统桌面进程同名,对用户具有一定迷惑性。

    当成功运行起来,病毒就读取之前释放出的病毒文件BOLE.ini。此文件为病毒配置信息,病毒根据里面的信息,悄悄建立远程连接,从木马种植者指定的地址http://xxxxx.1a2b3c1.net/下载一份名为list.txt的木马列表,再读取其中的地址,下载更多的其它木马程序到中毒电脑中运行,引起更多无法估计的破坏。

    此外,由于木马种植者可随时更改木马列表中的下载地址和程序,因此该病毒也就具备了一定的更新能力。
作者: wpsni     时间: 2008-2-29 09:32
“桌面伪装木马23552”(Win32.Troj.Downloader.ex.23552),这是一个木马下载者病毒。该病毒运行后,释放一个伪explorer.exe,以便随系统自动启动。从配置信息中读取下载的网址,从该网址处下载其他病毒到用户系统中运行。
作者: Legend     时间: 2008-2-29 12:05
感谢楼主的反馈,从楼主得到的BOLE.INI
可看出,该文件只是一个木马读取的下载列表,并不是真正的病毒执行体,楼主查看下您的%WINDOWS%\system32\目录下是否存在explorer.exe、netsrv.dll等其他程序,微点是否曾经对其报警,另外请楼主将微点的技术支持文档(微点主界面-辅助功能-生成技术支持信息)发到support@micropoint.com.cn我们根据您的信息具体测试分析。
作者: wpsni     时间: 2008-2-29 17:06
我想說和這個病毒有關聯NETSRV.DLL
之所以想把信息發出來,是因為micropoint 每一次在開機的時候有,提示,而無法刪除,應該是變種吧!
作者: Legend     时间: 2008-2-29 17:09
请楼主上查收邮件,请您根据邮件说明进行操作。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn