警惕新威胁：完整解决“灯泡男”病毒

【编者注：为安全起见，文中全部“http”均被改为“hxxp”！】

“前些天，电脑中了熊猫烧香，刚把‘国宝’赶走没几天，今天上网下载了个小工具后，机器运行又开始变慢，有几个程序图标变成‘帅哥’头像，眼睛比较突出象灯泡的样子，估计又中病毒了，真是郁闷！”用户陈先生无奈地表示。

金山毒霸反病毒专家戴光剑指出，这是一个名为“神奇小子”（Win32.WizardBoy.a）的感染型病毒，也有人叫“灯泡男”或“舞男头”。该病毒可感染扩展名为exe和scr的可执行文件，并通过局域网传播，当网络可用时，病毒还将从网上下载其他病毒。

据金山毒霸的专家介绍，“灯泡男”与“熊猫烧香”从病毒行为上讲非常相似，虽然“灯泡男”暂时还没有大规模爆发，但用户仍然需要提高警惕。下面是毒霸的专家对这个病毒的详细分析，希望对用户有所帮助。

“神奇小子”（Win32.WizardBoy.a）病毒行为分析

1、释放病毒体文件到C:\Program Files\Internet Explorer\icwtutor.com，并释放病毒dll文件到C:\Program Files\Internet Explorer\PLUGINS\nppd32.dat，若含有被感染后的文件，则创建正常文件的进程并运行。

2、添加如下注册表项：

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"Internet Explorer Server"="C:\Program Files\Internet Explorer\icwtutor.com"

3、启动IE进程，将病毒文件nppd32.dat注入IE进程，从如下网址读取病毒下载地址，下载病毒，该网址是加密的。

hxxp://www.04080.com/vip/1.txt

解密后的病毒地址如下，为多种网络游戏木马：

hxxp://www.04080.com/vip/mhxy.exe

hxxp://www.04080.com/vip/gezi.exe

hxxp://www.04080.com/vip/huaxia.exe

hxxp://www.04080.com/vip/wlwz.exe

hxxp://www.04080.com/vip/mlbb.exe

hxxp://www.04080.com/vip/datang.exe

4、遍历本地磁盘，搜索所有.exe，.scr为扩展名的文件，并感染。

5、尝试通过局域网写\\C$\\AutoExec.bat传播自身。如果被局域网远程感染成功，系统重启后，会自动运行autoexec.bat从而启动病毒。

6、病毒感染后的文件变成如下图标

处理方法：

1.重启系统，按F8，选择带网络连接的安全模式

2.进入金山毒霸的安装目录，直接执行update.exe，将杀毒软件升级到最新。

3.全盘扫描修复被感染的执行文件。

4.删除病毒添加的注册表启动项

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Internet Explorer Server--->C:\Program Files\Internet Explorer\icwtutor.com

防护建议：

1.建议至少每月一次通过Windows Update或金山毒霸的漏洞修复工具安装系统补丁。

2.给系统管理员帐户设置足够复杂的管理员密码，安全的口令是字母、数字、特殊字符的组合，位数不少于7位。

修改方法：在我的电脑上单击右键，选择管理，浏览到本地用户和组，在右边空格中找到administrator用户，单击右键，选择修改口令。

3.通过控制面板，保持Windows防火墙是启用状态，或者确保金山网镖是启用状态，可以有效地阻挡病毒的入侵。

4.关闭不必要的共享文件，方法是右键单击我的电脑，选择管理，浏览到共享文件夹，在右边窗格中停止不必要的共享文件夹。

关键词：

最新五条评论

查看全部评论

您的评论