黑冰

黑冰變種212992

這是一個被黑冰病毒的變種。被感染文件會釋放並執行這個病毒體，再調用正常的文件執行，使得用户難以發現自己的電腦已中毒。

1.被感染文件體積會增大,用PE工具查看可以看到文件被多加了一個叫blackice的節,並且入口也在新加的節中.還可以看到一個名稱是8005的資源

2.病毒執行時會在用户的臨時目錄下釋放一個名為"bk_XX.tmp"的木馬文件,其中XX為一個不確定的數,會按現有名稱遞增, 一般用户的臨時目錄是"C:\Documents and Settings\User\Local Settings\Temp",釋放資源中的文件並執行

3.釋放的文件是一個木馬文件,會將自身拷貝到system32下的blackice.exe,並增加註冊表項

"HKCU\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\run"

"HKCU\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon\shell"實現自啓動和對Explorer進程的注入

4.釋放的木馬文件會盜部分遊戲賬號.