“前些天,电脑中了熊猫烧香,刚把‘国宝'赶走没几天,今天上网下载了个小工具后,机器运行又开始变慢,有几个程序图标变成‘帅哥'头像,眼睛比较突出象灯泡的样子,估计又中病毒了,真是郁闷!”用户陈先生无奈地表示。
金山毒霸反病毒专家戴光剑指出,这是一个名为“神奇小子”(Win32.WizardBoy.a)的感染型病毒,也有人叫“灯泡男”或“舞男头”。该病毒可感染扩展名为exe和scr的可执行文件,并通过局域网传播,当网络可用时,病毒还将从网上下载其他病毒。
据金山毒霸的专家介绍,“灯泡男”与“熊猫烧香”从病毒行为上讲非常相似,虽然“灯泡男”暂时还没有大规模爆发,但用户仍然需要提高警惕。下面是毒霸的专家对这个病毒的详细分析,希望对用户有所帮助。
“神奇小子”(Win32.WizardBoy.a)病毒行为分析
1、释放病毒体文件到C:/Program Files/Internet Explorer/icwtutor.com,并释放病毒dll文件到C:/Program Files/Internet Explorer/PLUGINS/nppd32.dat,若含有被感染后的文件,则创建正常文件的进程并运行。
2、添加如下注册表项:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"Internet Explorer Server"="C:/Program Files/Internet Explorer/icwtutor.com"
3、启动IE进程,将病毒文件nppd32.dat注入IE进程,从如下网址读取病毒下载地址,下载病毒,该网址是加密的。
http://www.04080.com/vip/1.txt
解密后的病毒地址如下,为多种网络游戏木马:
http://www.04080.com/vip/mhxy.exe
http://www.04080.com/vip/gezi.exe
http://www.04080.com/vip/huaxia.exe
http://www.04080.com/vip/wlwz.exe
http://www.04080.com/vip/mlbb.exe
http://www.04080.com/vip/datang.exe
4、遍历本地磁盘,搜索所有.exe,.scr为扩展名的文件,并感染。
5、尝试通过局域网写//C$//AutoExec.bat传播自身。如果被局域网远程感染成功,系统重启后,会自动运行autoexec.bat从而启动病毒。
6、病毒感染后的文件变成如下图标
处理方法:
1. 重启系统,按F8,选择带网络连接的安全模式
2. 进入金山毒霸的安装目录,直接执行update.exe,将杀毒软件升级到最新。
3. 全盘扫描修复被感染的执行文件
4. 删除病毒添加的注册表启动项HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
Internet Explorer Server--->C:/Program Files/Internet Explorer/icwtutor.com
和文件C:/Program Files/Internet Explorer/icwtutor.com
防护建议:
1.建议至少每月一次通过Windows Update或金山毒霸的漏洞修复工具安装系统补丁;
2.给系统管理员帐户设置足够复杂的管理员密码,安全的口令是字母、数字、特殊字符的组合,位数不少于7位。
修改方法:在我的电脑上单击右键,选择管理,浏览到本地用户和组,在右边空格中找到administrator用户,单击右键,选择修改口令。
3.通过控制面板,保持Windows防火墙是启用状态,或者确保金山网镖是启用状态,可以有效地阻挡病毒的入侵。
4.关闭不必要的共享文件,方法是右键单击我的电脑,选择管理,浏览到共享文件夹,在右边窗格中停止不必要的共享文件夹。