■ 河北 李云飞 康建英

编者按：Blackice病毒并非什么新式威胁，处理起来也不是什么困难的事情，但有时在单位内网中还是会遇到，并且给工作带来一定麻烦，甚至威胁到单位相关业务的安全。本文就详细介绍在笔者工作过程中遇到的该病毒查杀的过程。

Blackice通过感染系统内部的各种文件进行传播，具有隐藏性强，感染和破坏力打、自身不断变换更新等特点。

Blackice主要通过Office中的宏传播，虽说不是什么新病毒，用杀毒软件可以查杀，但是由于单位内部的Office文档是经过第三方软件加密的，宏代码也进行了加密处理，导致了感染病毒的Office文档无法被杀毒软件查杀。

而且只有在打开感染的Office文档病毒在系统中运行之后才能用杀毒软件查杀，每次杀完毒之后再次打开感染病毒的文档依然会中病毒。

因此导致了单位内网计算机反复中病毒，而且无法彻底清除。中了Blackice病毒之后出现Windows 7开机黑屏无桌面和开机不断打开本地Office文档的情况，对内网办公计算机造成了很大影响。

病毒查杀

1.结束病毒进程

不断打开Office文档是因为病毒在系统中运行导致的，可以通过结束病毒进程让病毒停止运行。

若要结束病毒进程，首先是要找到病毒的进程名，经过分析后发现，这个病毒的进程名主要是Blackice.exe和*.tmp（一般的进程都是.exe结尾的二这个病毒进程主要是.tmp结尾的进程），所以只要看到Blackice.exe和tmp后缀的就是病毒进程，直接结束并删除文件即可，病毒进程结束之后Office文档也就停止打开了。

XueTr、冰刃等都是一些强大的反病毒工具，我们可以通过这些工具来强制结束并删除病毒进程。

2.删除病毒启动项

在结束病毒进程后还是无法彻底清除病毒，只要重启电脑病毒就又开始运行了。这时我们需要找到病毒的开机启动项并删除，经过分析发现病毒的启动项有两个位置：

第一个是位于“HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows”，把右侧的run直接删除（run的值指向了病毒C:windowssystem32lackice.exe）；

第二个是“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon”，把右侧的Shell里面的值修改为Explorer（中病毒后会在Explorer后面添加上病毒的位置C:windowssystem32lackice.exe就是因为添加了这个位置导致了Windows 7开机黑屏无桌面）。

开机黑屏无桌面的现象可以通过任务管理器新建任务explorer来显示桌面，但是重启之后还是黑屏无桌面，只有删除病毒启动项才可以暂时解决。但是只要病毒在系统中再次运行就又会更改启动项，重启还是黑屏无桌面。

最后通过分析发现，更改注册表的权限可以让病毒无法更改启动项，这样就可以彻底的解决病毒导致的开机黑屏无桌面的问题。可以通过下面的这段批处理代码来达到此效果，具体代码如下：

Reg delete “HKEY_CURRENT_USERSoftwareMicrosoft

WindowsNTCurrentVersionWindows”/v run /f

Reg add “HKEY_LOCAL_MACHINESOFTWAREMicrosoft

WindowsNTCurrentVersionWinlogon”/v shell /d Explorer.exe/f

@echo off

if exist regset.ini @del /q /f regset.ini

echo HKEY_CURRENT_USERSoftwareMicrosoft

WindowsNTCurrentVersionWindows[17] >regset.ini

regini regset.ini @del /q /f regset.ini

@echo off

if exist regset.ini @del /q /f regset.ini

echo HKEY_LOCAL_MACHINESOFTWAREMicrosoft

WindowsNTCurrentVersionWinlogon[17]>regset.ini

regini regset.ini @del /q /f regset.ini

首先把此段批处理代码存为bat格式，然后双击运行即可。

此段代码会删除病毒启动项然后给注册表设置权限让病毒无法通过修改注册表启动。

3.删除病毒文件

Blcakice病毒一般隐藏在系统的临时文件夹下，系统临时文件夹主要有：“%userprofile%AppDataLocalTemp”、“%use rprofile%Local SettingsTemp”以及“C:WindowsTemp”这三个位置，这些文件夹下面一般都是tmp结尾的文件，病毒文件一般是命名有规律的tmp文件，例如:bk_107A.tmp、bk_108A.tmp等。

如果实在不知道哪个tmp是病毒文件可以把这些文件夹下面的所有tmp文件删除，病毒还喜欢藏在某些软件安装目录下，因为这些目录下的病毒文件杀毒软件无权限删除，只有通过专门的反病毒软件（XueTr）才能删除。

如果中毒严重可能一些常用的应用程序也会感染，如WinRAR、IE浏览器、PDF阅读器等，当这些软件感染后可以用杀毒软件查杀。

由于单位使用的是瑞星杀毒，测试发现瑞星对感染病毒的应用程序的处理方式是删除隔离，这样处理的后果就是直接导致应用程序无法正常使用。后来更换360杀毒测试，发现360杀毒对感染病毒应用程序的处理方式是修复，修复之后软件可以正常使用，所有这里建议大家还是使用360杀毒软件查杀此病毒。

病毒防御

上面主要介绍了Blackice病毒的查杀方法，但是如果打开了感染病毒的Office文档还是会中病毒，通过分析发现病毒的主要传播方式是通过Office里面的宏，开始通过设置Office“禁用所有宏，并且不通知”来防御，但是有时候宏又自动打开了。

后来通过删除Visual Basic for Applications来实现禁用宏，虽然可以彻底禁用了，但是每次打开office文档的时候都会有提示框，很烦人。

后来通过一些设置能减少出现这些提示框，但也不是很理想。最后通过修改注册表的方式彻底禁用了宏，具体代码如下：

Reg add “HKEY_CURRENT_USERSoftwareMicrosoftoffice

14.0wordSecurity”/v VBAwarnings /t REG_DWORD /d 4 /f

Reg add “HKEY_CURRENT_USERSoftwareMicrosoftoffice

14.0ExcelSecurity”/v VBAwarnings /t REG_DWORD /d 4 /f

Reg add “HKEY_CURRENT_USERSoftwareMicrosoftoffice

14.0wordSecurity”/v AccessVBOM /t REG_DWORD /d 0 /f

Reg add “HKEY_CURRENT_USERSoftwareMicrosoftoffice

14.0ExcelSecurity”/v AccessVBOM /t REG_DWORD /d 0 /f

@echo off

if exist regset.ini @del /q /f regset.ini

echo HKEY_CURRENT_USERSoftwareMicrosoftoffice14.

0wordSecurity[17]>regset.ini

regini regset.ini @del /q /f regset.ini

@echo off

if exist regset.ini @del /q /f regset.ini

echo HKEY_CURRENT_USERSoftwareMicrosoftoffice14.

0ExcelSecurity[17]>regset.ini

regini regset.ini @del /q /f regset.ini

把上面的代码存为bat文件然后执行即可，代码主要实现的功能是设置Word和Excel文件的宏模式为“禁用所有宏，并且不通知”同时也取消了“信任对VBA工程对象模型访问”。最后设置注册表权限让病毒无法修改注册表，彻底关闭宏之后就阻断了病毒的主要传播途径，阻止了病毒在内网中大范围的传播。