簡介
這個軟件在九九年獲得了PCMagazine的技術卓越大獎,專家對它的評語是:“對于沒有防火牆的家庭用戶來說,BlackICE是一道不可缺少的防線;而對于企業網絡,它又增加了一層保護措施,它并不是要取代防火牆,而是阻止企圖穿過防火牆的入侵者。而且它還可以将查明那些試圖入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址記錄下來,以便采取進一步行動。封言用過後感覺,該軟件系統資源占用率極少,是每一位上網朋友的最佳選擇。
病毒特征
加載在啟動項裡面的是blackice.exe。一旦打開office文檔如word、excel等,均會在進程中添加blackice.exe的進程,同時在DocumentsandSettings*username*LocalSettingsTemp文件夾下生成bk_*.tmp,其中*為數字和字母,按照現有文件名遞增。一位為數字或字母,兩位的話是數字+字母形勢,大小均為33kb,同時注入系統進程且無法中止。
使用殺毒軟件可以查殺,病毒分類為Worm.win32.Whiteice.a,一般殺毒軟件均可結束blackice進程但無法直接删除該文件,可以删除kernel.dll,可以删除bk_*.tmp,提示需要重啟才能殺掉blackice。但重啟之後開機提示系統找不到%systemroot%system32blackice.exe,而且再次打開office文檔還會重複上面的過程;也就是殺毒軟件無法根除。
删除過程
安全模式下,用kaspersky添加病毒文件的兩個關鍵區域和office所在的文件夾即DocumentsandSettings*username*ApplicationDataMicrosoft,然後掃描殺毒殺毒完成後,運行msconfig取消blackice的啟動項,然後運行regedit搜索blackice相關鍵值并全部删除。重啟之後,進入正常模式,在%systemroot%system32文件夾下新建兩個空白txt文件并修改為blackice.exe和kernel.dll,修改其屬性為隻讀。重啟。再次進入正常模式後對上述關鍵區域殺毒,同時運行regedit删除相關鍵值。删除及殺毒完畢後再次重啟,進入正常模式後卸載office。至此病毒再也不會出現。重新安裝office後,再次打開office文檔也不會再出現病毒了。
特别提下,就算沒中毒,使用“在%systemroot%system32文件夾下新建兩個空白txt文件并修改為blackice.exe和kernel.dll,修改其屬性為隻讀”這個方法也可以防止病毒在%systemroot%system32下生成blackice.exe和kernel.dll文件,起到一定的預防作用。
