熊貓孿生兄弟燈泡男病毒查殺方案[圖]

【編者注：為安全起見，文中全部『http』均被改為『hxxp』！】

『前些天，電腦中了熊貓燒香，剛把「國寶」趕走沒幾天，今天上網下載了個小工具後，機器運行又開始變慢，有幾個程序圖標變成「帥哥」頭像，眼睛比較突出象燈泡的樣子，估計又中病毒了，真是郁悶！』用戶陳先生無奈地表示。

金山毒霸反病毒專家戴光劍指出，這是一個名為『神奇小子』（Win32.WizardBoy.a）的感染型病毒，也有人叫『燈泡男』或『舞男頭』。該病毒可感染擴展名為exe和scr的可執行文件，並通過局域網傳播，當網絡可用時，病毒還將從網上下載其他病毒。

據金山毒霸的專家介紹，『燈泡男』與『熊貓燒香』從病毒行為上講非常相似，雖然『燈泡男』暫時還沒有大規模爆發，但用戶仍然需要提高警惕。下面是毒霸的專家對這個病毒的詳細分析，希望對用戶有所幫助。

『神奇小子』（Win32.WizardBoy.a）病毒行為分析

1、釋放病毒體文件到C:\Program Files\Internet Explorer\icwtutor.com，並釋放病毒dll文件到C:\Program Files\Internet Explorer\PLUGINS\nppd32.dat，若含有被感染後的文件，則創建正常文件的進程並運行。

2、添加如下注冊表項：

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]


"Internet Explorer Server"="C:\Program Files\Internet Explorer\icwtutor.com"

3、啟動IE進程，將病毒文件nppd32.dat注入IE進程，從如下網址讀取病毒下載地址，下載病毒，該網址是加密的。

hxxp://www.04080.com/vip/1.txt

解密後的病毒地址如下，為多種網絡游戲木馬：

hxxp://www.04080.com/vip/mhxy.exe


hxxp://www.04080.com/vip/gezi.exe


hxxp://www.04080.com/vip/huaxia.exe


hxxp://www.04080.com/vip/wlwz.exe


hxxp://www.04080.com/vip/mlbb.exe


hxxp://www.04080.com/vip/datang.exe

4、遍歷本地磁盤，搜索所有.exe，.scr為擴展名的文件，並感染。

5、嘗試通過局域網寫\\C$\\AutoExec.bat傳播自身。如果被局域網遠程感染成功，系統重啟後，會自動運行autoexec.bat從而啟動病毒。

6、病毒感染後的文件變成如下圖標：

處理方法：

1.重啟系統，按F8，選擇帶網絡連接的安全模式。

2.進入金山毒霸的安裝目錄，直接執行update.exe，將殺毒軟件昇級到最新。

3.全盤掃描修復被感染的執行文件。

4.刪除病毒添加的注冊表啟動項：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


Internet Explorer Server--->C:\Program Files\Internet Explorer\icwtutor.com

防護建議：

1.建議至少每月一次通過Windows Update或金山毒霸的漏洞修復工具安裝系統補丁。

2.給系統管理員帳戶設置足夠復雜的管理員密碼，安全的口令是字母、數字、特殊字符的組合，位數不少於7位。

修改方法：在我的電腦上單擊右鍵，選擇管理，瀏覽到本地用戶和組，在右邊空格中找到administrator用戶，單擊右鍵，選擇修改口令。

3.通過控制面板，保持Windows防火牆是啟用狀態，或者確保金山網鏢是啟用狀態，可以有效地阻擋病毒的入侵。

4.關閉不必要的共享文件，方法是右鍵單擊我的電腦，選擇管理，瀏覽到共享文件夾，在右邊窗格中停止不必要的共享文件夾。