»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
反病毒
» 報一個病毒BOLE.INI 管理員請進,重要信息,
作者:
标题: 報一個病毒BOLE.INI 管理員請進,重要信息,
wpsni
注册用户
积分 96
发帖 96
注册 2006-10-14
#1
報一個病毒BOLE.INI 管理員請進,重要信息,
這個程式在
C:\WINDOWS\SYSTEM32下,
文件名BOLE.INI
打開內容
可以看到
VERSION=2008-2-3
GET=http://www.***.com/aa.txt
然後打開,這個aa.txt文件可以看到
VERSION=2008-2-3
[URL]
1=http://www.***.com/xx/1.exe
2=http://www.***.com/xx/2.exe
3=http://www.***.com/xx/3.exe
4=http://www.***.com/xx/4.exe
5=http://www.***.com/xx/5.exe
6=http://www.***.com/xx/6.exe
7=http://www.***.com/xx/7.exe
8=http://www.***.com/xx/8.exe
9=http://www.***.com/xx/9.exe
10=http://www.***.com/xx/10.exe
11=http://www.***.com/xx/11.exe
12=http://www.***.com/xx/12.exe
13=http://www.***.com/xx/13.exe
14=http://www.***.com/xx/14.exe
15=http://www.***.com/xx/15.exe
16=http://www.***.com/xx/16.exe
17=http://www.***.com/xx/17.exe
18=http://www.***.com/xx/18.exe
19=http://www.***.com/xx/19.exe
20=http://www.***.com/xx/20.exe
21=http://www.***.com/xx/21.exe
22=http://www.***.com/xx/22.exe
23=http://www.***.com/xx/23.exe
24=http://www.***.com/xx/24.exe
25=http://www.***.com/xx/25.exe
26=http://www.***.com/xx/26.exe
27=http://www.***.com/xx/27.exe
28=http://www.***.com/xx/28.exe
29=http://www.***.com/xx/29.exe
30=http://www.***.com/xx/30.exe
報道結束
[[i] Last edited by Legend on 2008-2-29 at 11:03 [/i]]
※ ※ ※ 本文纯属【wpsni】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
[url=http://bbs.cuku.net]酷库网络论坛欢迎您[/url]
2008-2-29 09:23
wpsni
注册用户
积分 96
发帖 96
注册 2006-10-14
#2
看了一下這個文件的生成時間是今天
※ ※ ※ 本文纯属【wpsni】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
[url=http://bbs.cuku.net]酷库网络论坛欢迎您[/url]
2008-2-29 09:24
wpsni
注册用户
积分 96
发帖 96
注册 2006-10-14
#3
一、“桌面伪装木马23552”(Win32.Troj.Downloader.ex.23552) 威胁级别:★
病毒进入系统后,在系统盘的%WINDOWS%\system32\目录下释放出BOLE.ini、explorer.exe、netsrv.dll等三个病毒文件。其中explorer.exe是病毒主程序,在释放完毕后,病毒就会把此文件的相关信息写入系统注册表的启动项,这样以后它就可随系统自动启动,由于这个病毒文件与系统桌面进程同名,对用户具有一定迷惑性。
当成功运行起来,病毒就读取之前释放出的病毒文件BOLE.ini。此文件为病毒配置信息,病毒根据里面的信息,悄悄建立远程连接,从木马种植者指定的地址
http://xxxxx.1a2b3c1.net/
下载一份名为list.txt的木马列表,再读取其中的地址,下载更多的其它木马程序到中毒电脑中运行,引起更多无法估计的破坏。
此外,由于木马种植者可随时更改木马列表中的下载地址和程序,因此该病毒也就具备了一定的更新能力。
※ ※ ※ 本文纯属【wpsni】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
[url=http://bbs.cuku.net]酷库网络论坛欢迎您[/url]
2008-2-29 09:26
wpsni
注册用户
积分 96
发帖 96
注册 2006-10-14
#4
“桌面伪装木马23552”(Win32.Troj.Downloader.ex.23552),这是一个木马下载者病毒。该病毒运行后,释放一个伪explorer.exe,以便随系统自动启动。从配置信息中读取下载的网址,从该网址处下载其他病毒到用户系统中运行。
※ ※ ※ 本文纯属【wpsni】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
[url=http://bbs.cuku.net]酷库网络论坛欢迎您[/url]
2008-2-29 09:32
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
#5
感谢楼主的反馈,从楼主得到的BOLE.INI
可看出,该文件只是一个木马读取的下载列表,并不是真正的病毒执行体,楼主查看下您的%WINDOWS%\system32\目录下是否存在explorer.exe、netsrv.dll等其他程序,微点是否曾经对其报警,另外请楼主将微点的技术支持文档(微点主界面-辅助功能-生成技术支持信息)发到
support@micropoint.com.cn
我们根据您的信息具体测试分析。
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
微点官方认证新浪微博:欢迎进入
微点新浪微博
微点技术支持邮箱:
support@micropoint.com.cn
给Legend发短消息
2008-2-29 12:05
wpsni
注册用户
积分 96
发帖 96
注册 2006-10-14
#6
我想說和這個病毒有關聯NETSRV.DLL
之所以想把信息發出來,是因為micropoint 每一次在開機的時候有,提示,而無法刪除,應該是變種吧!
※ ※ ※ 本文纯属【wpsni】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
[url=http://bbs.cuku.net]酷库网络论坛欢迎您[/url]
2008-2-29 17:06
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
#7
请楼主上查收邮件,请您根据邮件说明进行操作。
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
微点官方认证新浪微博:欢迎进入
微点新浪微博
微点技术支持邮箱:
support@micropoint.com.cn
给Legend发短消息
2008-2-29 17:09
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号
