內網Blackice病毒查殺

■ 河北 李云飛 康建英

編者按：Blackice病毒并非什么新式威脅，處理起來也不是什么困難的事情，但有時在單位內網中還是會遇到，并且給工作帶來一定麻煩，甚至威脅到單位相關業務的安全。本文就詳細介紹在筆者工作過程中遇到的該病毒查殺的過程。

Blackice通過感染系統內部的各種文件進行傳播，具有隱藏性強，感染和破壞力打、自身不斷變換更新等特點。

Blackice主要通過Office中的宏傳播，雖說不是什么新病毒，用殺毒軟件可以查殺，但是由于單位內部的Office文檔是經過第三方軟件加密的，宏代碼也進行了加密處理，導致了感染病毒的Office文檔無法被殺毒軟件查殺。

而且只有在打開感染的Office文檔病毒在系統中運行之后才能用殺毒軟件查殺，每次殺完毒之后再次打開感染病毒的文檔依然會中病毒。

因此導致了單位內網計算機反復中病毒，而且無法徹底清除。中了Blackice病毒之后出現Windows 7開機黑屏無桌面和開機不斷打開本地Office文檔的情況，對內網辦公計算機造成了很大影響。

病毒查殺

1.結束病毒進程

不斷打開Office文檔是因為病毒在系統中運行導致的，可以通過結束病毒進程讓病毒停止運行。

若要結束病毒進程，首先是要找到病毒的進程名，經過分析后發現，這個病毒的進程名主要是Blackice.exe和*.tmp（一般的進程都是.exe結尾的二這個病毒進程主要是.tmp結尾的進程），所以只要看到Blackice.exe和tmp后綴的就是病毒進程，直接結束并刪除文件即可，病毒進程結束之后Office文檔也就停止打開了。

XueTr、冰刃等都是一些強大的反病毒工具，我們可以通過這些工具來強制結束并刪除病毒進程。

2.刪除病毒啟動項

在結束病毒進程后還是無法徹底清除病毒，只要重啟電腦病毒就又開始運行了。這時我們需要找到病毒的開機啟動項并刪除，經過分析發現病毒的啟動項有兩個位置：

第一個是位于“HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows”，把右側的run直接刪除（run的值指向了病毒C:windowssystem32lackice.exe）；

第二個是“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon”，把右側的Shell里面的值修改為Explorer（中病毒后會在Explorer后面添加上病毒的位置C:windowssystem32lackice.exe就是因為添加了這個位置導致了Windows 7開機黑屏無桌面）。

開機黑屏無桌面的現象可以通過任務管理器新建任務explorer來顯示桌面，但是重啟之后還是黑屏無桌面，只有刪除病毒啟動項才可以暫時解決。但是只要病毒在系統中再次運行就又會更改啟動項，重啟還是黑屏無桌面。

最后通過分析發現，更改注冊表的權限可以讓病毒無法更改啟動項，這樣就可以徹底的解決病毒導致的開機黑屏無桌面的問題。可以通過下面的這段批處理代碼來達到此效果，具體代碼如下：

Reg delete “HKEY_CURRENT_USERSoftwareMicrosoft

WindowsNTCurrentVersionWindows”/v run /f

Reg add “HKEY_LOCAL_MACHINESOFTWAREMicrosoft

WindowsNTCurrentVersionWinlogon”/v shell /d Explorer.exe/f

@echo off

if exist regset.ini @del /q /f regset.ini

echo HKEY_CURRENT_USERSoftwareMicrosoft

WindowsNTCurrentVersionWindows[17] >regset.ini

regini regset.ini @del /q /f regset.ini

@echo off

if exist regset.ini @del /q /f regset.ini

echo HKEY_LOCAL_MACHINESOFTWAREMicrosoft

WindowsNTCurrentVersionWinlogon[17]>regset.ini

regini regset.ini @del /q /f regset.ini

首先把此段批處理代碼存為bat格式，然后雙擊運行即可。

此段代碼會刪除病毒啟動項然后給注冊表設置權限讓病毒無法通過修改注冊表啟動。

3.刪除病毒文件

Blcakice病毒一般隱藏在系統的臨時文件夾下，系統臨時文件夾主要有：“%userprofile%AppDataLocalTemp”、“%use rprofile%Local SettingsTemp”以及“C:WindowsTemp”這三個位置，這些文件夾下面一般都是tmp結尾的文件，病毒文件一般是命名有規律的tmp文件，例如:bk_107A.tmp、bk_108A.tmp等。

如果實在不知道哪個tmp是病毒文件可以把這些文件夾下面的所有tmp文件刪除，病毒還喜歡藏在某些軟件安裝目錄下，因為這些目錄下的病毒文件殺毒軟件無權限刪除，只有通過專門的反病毒軟件（XueTr）才能刪除。

如果中毒嚴重可能一些常用的應用程序也會感染，如WinRAR、IE瀏覽器、PDF閱讀器等，當這些軟件感染后可以用殺毒軟件查殺。

由于單位使用的是瑞星殺毒，測試發現瑞星對感染病毒的應用程序的處理方式是刪除隔離，這樣處理的后果就是直接導致應用程序無法正常使用。后來更換360殺毒測試，發現360殺毒對感染病毒應用程序的處理方式是修復，修復之后軟件可以正常使用，所有這里建議大家還是使用360殺毒軟件查殺此病毒。

病毒防御

上面主要介紹了Blackice病毒的查殺方法，但是如果打開了感染病毒的Office文檔還是會中病毒，通過分析發現病毒的主要傳播方式是通過Office里面的宏，開始通過設置Office“禁用所有宏，并且不通知”來防御，但是有時候宏又自動打開了。

后來通過刪除Visual Basic for Applications來實現禁用宏，雖然可以徹底禁用了，但是每次打開office文檔的時候都會有提示框，很煩人。

后來通過一些設置能減少出現這些提示框，但也不是很理想。最后通過修改注冊表的方式徹底禁用了宏，具體代碼如下：

Reg add “HKEY_CURRENT_USERSoftwareMicrosoftoffice

14.0wordSecurity”/v VBAwarnings /t REG_DWORD /d 4 /f

Reg add “HKEY_CURRENT_USERSoftwareMicrosoftoffice

14.0ExcelSecurity”/v VBAwarnings /t REG_DWORD /d 4 /f

Reg add “HKEY_CURRENT_USERSoftwareMicrosoftoffice

14.0wordSecurity”/v AccessVBOM /t REG_DWORD /d 0 /f

Reg add “HKEY_CURRENT_USERSoftwareMicrosoftoffice

14.0ExcelSecurity”/v AccessVBOM /t REG_DWORD /d 0 /f

@echo off

if exist regset.ini @del /q /f regset.ini

echo HKEY_CURRENT_USERSoftwareMicrosoftoffice14.

0wordSecurity[17]>regset.ini

regini regset.ini @del /q /f regset.ini

@echo off

if exist regset.ini @del /q /f regset.ini

echo HKEY_CURRENT_USERSoftwareMicrosoftoffice14.

0ExcelSecurity[17]>regset.ini

regini regset.ini @del /q /f regset.ini

把上面的代碼存為bat文件然后執行即可，代碼主要實現的功能是設置Word和Excel文件的宏模式為“禁用所有宏，并且不通知”同時也取消了“信任對VBA工程對象模型訪問”。最后設置注冊表權限讓病毒無法修改注冊表，徹底關閉宏之后就阻斷了病毒的主要傳播途徑，阻止了病毒在內網中大范圍的傳播。