病毒名称(中文):
黑冰变种212992
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
212992
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个被黑冰病毒的变种。它会感染一些主流网络游戏的文件,被感染文件多加了一个叫作“blackice”的节,并且在原文件中加入了一个木马病毒体。被感染文件会释放并执行这个病毒体,再调用正常的文件执行,使得用户难以发现自己的电脑已中毒。
1.被感染文件体积会增大,用PE工具查看可以看到文件被多加了一个叫blackice的节,并且入口也在新加的节中.
还可以看到一个名称是8005的资源
2.病毒执行时会在用户的临时目录下释放一个名为"bk_XX.tmp"的木马文件,其中XX为一个不确定的数,会按现有
名称递增,一般用户的临时目录是"C:\DocumentsandSettings\User\LocalSettings\Temp",
释放资源中的文件并执行
3.释放的文件是一个木马文件,会将自身拷贝到system32下的blackice.exe,并增加注册表项
"HKCU\SoftWare\Microsoft\WindowsNT\CurrentVersion\Windows\run"
"HKCU\SoftWare\Microsoft\WindowsNT\CurrentVersion\Winlogon\shell"实现自启动和对Explorer进程
的注入
4.释放的木马文件会盗部分游戏帐号.
