========Title========
这个blackice.exe是不是新病毒啊？总是杀不掉它。
========Content========
首先是有一个blackice.exe 的启动文件，应该是病毒主体。然后任何打开过的word文件，excel文件都会被植入宏病毒，以后一打开这些office文件，病毒即发作。在tmp目录下创建bk_xxx.tmp（xxx是数字，顺序增长） 的文件，并被调入内存运行。将office 的宏安全等级降为低。将C盘全盘共享出去，在局域网内通过这种方式或者office文件宏的方式传播。最后导致内存中有无数个bk_xxx.tmp 的文件,杀毒软件运行不正常。其他危害尚未发现。所有的杀毒软件都不报它。
我的处理过程：
1、dos下删除blackice.exe文件，并创建同名目录，加上只读属性。
2、安全模式删除有关blackice.exe 的启动项目。
3、删除用户名下的word和excel模板文件。
4、删除临时目录下的bk*.tmp 文件。
5、修改注册表，禁用office的VBA功能。
应该病毒不会发作了，机器重新一启动，或者用户注销后再登录，blackice.exe 又在启动项目中了，还有一个东西实在是找不到了不知道在哪里加载的。

好心人给看看阿

生成病毒文件：
blackice.exe , kernel.exe
路径：
%System32%\blackice.exe , %System32%\kernel.exe
病毒下载以下文件：
blackice.ini , My Document下resume.xlw
使用宏病毒感染templates\nomal.dot
Temp目录下生成较多感染bk_*.tmp文件
病毒写入二个注册表键值：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]　"blackice.exe"="C:\\WINDOWS\\system32\\blackice.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="Explorer.exe  %System32%\blackice.exe "
改变office 有关execl,word 四个键值
病毒注入Explorer.exe进程，并监视Blackice.exe进程
病毒访问以下地址：
http://fmtwld.vicp.net/blackice.exe/url
http://fmtwld.zj.com/blackice.exe/url
http://www31.websamba.com/blackice888/getdown

是一个下载者来的
用的还是花生壳的域名
ping 一下 fmtwld.vicp.net就可以得到下马者的IP了
可惜中国的警察办事……不好说，算了，不说！

本病毒样本已上传给赛门铁克安全中心，2小时后，反馈并确认了病毒，之后给出病毒定义，定义已加载到2007-2-14 rev.20病毒库,升级后应该可以去除!