黑冰变种Win32.BlackIce.zm.212992

taong

病毒名称(中文):黑冰变种212992


病毒别名:



威胁级别:★★☆☆☆


病毒类型:木马程序


病毒长度:212992



影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003



病毒行为:
这是一个被黑冰病毒的变种。它会感染一些主流网络游戏的文件，被感染文件多加了一个叫作“blackice”的节，并且在原文件中加入了一个木马病毒体。被感染文件会释放并执行这个病毒体，再调用正常的文件执行，使得用户难以发现自己的电脑已中毒。
1.被感染文件体积会增大,用PE工具查看可以看到文件被多加了一个叫blackice的节,并且入口也在新加的节中.
还可以看到一个名称是8005的资源
2.病毒执行时会在用户的临时目录下释放一个名为"bk_XX.tmp"的木马文件,其中XX为一个不确定的数,会按现有
名称递增, 一般用户的临时目录是"C:\Documents and Settings\User\Local Settings\Temp",
释放资源中的文件并执行
3.释放的文件是一个木马文件,会将自身拷贝到system32下的blackice.exe,并增加注册表项
"HKCU\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\run"
"HKCU\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon\shell"实现自启动和对Explorer进程
的注入
4.释放的木马文件会盗部分游戏帐号.