由于两个木马有很多共同之处，所以列在一起作对比。

先看看“蓝色火焰3.0”：

　　在C:\WINDOWS\SYSTEM\下生成三个木马文件tasksvc.exe、sysexpl.exe、bfhook.dll，前两者无论大小、图标都和原木马文件一模一样，后者是DLL文件，大小为18 K。

再看看“冰河6.0”：

　　在C:\WINDOWS\SYSTEM\下生成两个木马文件SYSDLL32.exe、Sysexplr.exe，大小都是270 K，呈无任何关联普通文件的图标状

　　彻查win.ini、system.ini、CONFIG.SYS、AUTOEXEC.BAT，未发现有改动的痕迹；手动查找随机启动程序组（包含C:\WINDOWS\All Users\Start Menu\Programs\启动）和WINSTART.BAT，也未发现有可疑之处；运行REGEDIT，查找注册表，木马改动如下：

“蓝色火焰3.0”：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Network Services=C:\WINDOWS\SYSTEM\tasksvc.exe————增加

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
C:\WINDOWS\SYSTEM\sysexpl.exe "%1"————更改

[HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]
C:\WINDOWS\SYSTEM\sysexpl.exe "%1"————更改

“冰河6.0”：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
（默认）=C:\WINDOWS\SYSTEM\SYSDLL32.exe————增加

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
（默认）=C:\WINDOWS\SYSTEM\SYSDLL32.exe————增加

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
C:\WINDOWS\SYSTEM\Sysexplr.exe "%1"————更改

[HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]
C:\WINDOWS\SYSTEM\Sysexplr.exe "%1"————更改

　　既然知道增加了什么文件，注册表做了哪些改动，一切问题马上迎刃而解。运行REGEDIT，更改注册表：