“前些天,電腦中了熊貓燒香,剛把‘國寶'趕走沒幾天，今天上網(wǎng)下載了個小工具后，機器運行又開始變慢，有幾個程序圖標變成‘帥哥'頭像，眼睛比較突出象燈泡的樣子，估計又中病毒了，真是郁悶！”用戶陳先生無奈地表示。

　　金山毒霸反病毒專家戴光劍指出,這是一個名為“神奇小子”（Win32.WizardBoy.a）的感染型病毒，也有人叫“燈泡男”或“舞男頭”。該病毒可感染擴展名為exe和scr的可執(zhí)行文件，并通過局域網(wǎng)傳播，當網(wǎng)絡(luò)可用時，病毒還將從網(wǎng)上下載其他病毒。

　　據(jù)金山毒霸的專家介紹，“燈泡男”與“熊貓燒香”從病毒行為上講非常相似，雖然“燈泡男”暫時還沒有大規(guī)模爆發(fā)，但用戶仍然需要提高警惕。下面是毒霸的專家對這個病毒的詳細分析，希望對用戶有所幫助。

　　“神奇小子”（Win32.WizardBoy.a）病毒行為分析

　　1、釋放病毒體文件到C:/Program Files/Internet Explorer/icwtutor.com，并釋放病毒dll文件到C:/Program Files/Internet Explorer/PLUGINS/nppd32.dat，若含有被感染后的文件，則創(chuàng)建正常文件的進程并運行。

　　2、添加如下注冊表項：

　　[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]

　　"Internet Explorer Server"="C:/Program Files/Internet Explorer/icwtutor.com"

　　3、啟動IE進程，將病毒文件nppd32.dat注入IE進程，從如下網(wǎng)址讀取病毒下載地址，下載病毒，該網(wǎng)址是加密的。

　　http://www.04080.com/vip/1.txt

　　解密后的病毒地址如下，為多種網(wǎng)絡(luò)游戲木馬：

　　http://www.04080.com/vip/mhxy.exe

　　http://www.04080.com/vip/gezi.exe

　　http://www.04080.com/vip/huaxia.exe

　　http://www.04080.com/vip/wlwz.exe

　　http://www.04080.com/vip/mlbb.exe

　　http://www.04080.com/vip/datang.exe

　　4、遍歷本地磁盤，搜索所有.exe，.scr為擴展名的文件，并感染。

　　5、嘗試通過局域網(wǎng)寫//C$//AutoExec.bat傳播自身。如果被局域網(wǎng)遠程感染成功，系統(tǒng)重啟后，會自動運行autoexec.bat從而啟動病毒。

　　6、病毒感染后的文件變成如下圖標

　
　

　　處理方法:

　　1. 重啟系統(tǒng)，按F8，選擇帶網(wǎng)絡(luò)連接的安全模式

　　2. 進入金山毒霸的安裝目錄，直接執(zhí)行update.exe，將殺毒軟件升級到最新。

　　3. 全盤掃描修復(fù)被感染的執(zhí)行文件

　　4. 刪除病毒添加的注冊表啟動項HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

　　Internet Explorer Server--->C:/Program Files/Internet Explorer/icwtutor.com

　　和文件C:/Program Files/Internet Explorer/icwtutor.com

　　防護建議:

　　1.建議至少每月一次通過Windows Update或金山毒霸的漏洞修復(fù)工具安裝系統(tǒng)補??；

　　2.給系統(tǒng)管理員帳戶設(shè)置足夠復(fù)雜的管理員密碼，安全的口令是字母、數(shù)字、特殊字符的組合，位數(shù)不少于7位。

　　修改方法：在我的電腦上單擊右鍵，選擇管理，瀏覽到本地用戶和組，在右邊空格中找到administrator用戶，單擊右鍵，選擇修改口令。

　　3.通過控制面板，保持Windows防火墻是啟用狀態(tài)，或者確保金山網(wǎng)鏢是啟用狀態(tài)，可以有效地阻擋病毒的入侵。

　　4.關(guān)閉不必要的共享文件，方法是右鍵單擊我的電腦，選擇管理，瀏覽到共享文件夾，在右邊窗格中停止不必要的共享文件夾。

最新評論