简介
这个软件在九九年获得了PCMagazine的技术卓越大奖,专家对它的评语是:“对于没有防火墙的家庭用户来说,BlackICE是一道不可缺少的防线;而对于企业网络,它又增加了一层保护措施,它并不是要取代防火墙,而是阻止企图穿过防火墙的入侵者。而且它还可以将查明那些试图入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址记录下来,以便采取进一步行动。封言用过后感觉,该软件系统资源占用率极少,是每一位上网朋友的最佳选择。
病毒特征
加载在启动项里面的是blackice.exe。一旦打开office文档如word、excel等,均会在进程中添加blackice.exe的进程,同时在DocumentsandSettings*username*LocalSettingsTemp文件夹下生成bk_*.tmp,其中*为数字和字母,按照现有文件名递增。一位为数字或字母,两位的话是数字+字母形势,大小均为33kb,同时注入系统进程且无法中止。
使用杀毒软件可以查杀,病毒分类为Worm.win32.Whiteice.a,一般杀毒软件均可结束blackice进程但无法直接删除该文件,可以删除kernel.dll,可以删除bk_*.tmp,提示需要重启才能杀掉blackice。但重启之后开机提示系统找不到%systemroot%system32blackice.exe,而且再次打开office文档还会重复上面的过程;也就是杀毒软件无法根除。
删除过程
安全模式下,用kaspersky添加病毒文件的两个关键区域和office所在的文件夹即DocumentsandSettings*username*ApplicationDataMicrosoft,然后扫描杀毒杀毒完成后,运行msconfig取消blackice的启动项,然后运行regedit搜索blackice相关键值并全部删除。重启之后,进入正常模式,在%systemroot%system32文件夹下新建两个空白txt文件并修改为blackice.exe和kernel.dll,修改其属性为只读。重启。再次进入正常模式后对上述关键区域杀毒,同时运行regedit删除相关键值。删除及杀毒完毕后再次重启,进入正常模式后卸载office。至此病毒再也不会出现。重新安装office后,再次打开office文档也不会再出现病毒了。
特别提下,就算没中毒,使用“在%systemroot%system32文件夹下新建两个空白txt文件并修改为blackice.exe和kernel.dll,修改其属性为只读”这个方法也可以防止病毒在%systemroot%system32下生成blackice.exe和kernel.dll文件,起到一定的预防作用。
