“灯泡男”“神奇小子”(Win32.WizardBoy.a)病毒完整解决方案

“前些天,电脑中了熊猫烧香,刚把‘国宝'赶走没几天,今天上网下载了个小工具后,机器运行又开始变慢,有几个程序图标变成‘帅哥'头像,眼睛比较突出象灯泡的样子,估计又中病毒了,真是郁闷!”用户陈先生无奈地表示。

  金山毒霸反病毒专家戴光剑指出,这是一个名为“神奇小子”(Win32.WizardBoy.a)的感染型病毒,也有人叫“灯泡男”或“舞男头”。该病毒可感染扩展名为exe和scr的可执行文件,并通过局域网传播,当网络可用时,病毒还将从网上下载其他病毒。

  据金山毒霸的专家介绍,“灯泡男”与“熊猫烧香”从病毒行为上讲非常相似,虽然“灯泡男”暂时还没有大规模爆发,但用户仍然需要提高警惕。下面是毒霸的专家对这个病毒的详细分析,希望对用户有所帮助。

  “神奇小子”(Win32.WizardBoy.a)病毒行为分析

  1、释放病毒体文件到C:/Program Files/Internet Explorer/icwtutor.com,并释放病毒dll文件到C:/Program Files/Internet Explorer/PLUGINS/nppd32.dat,若含有被感染后的文件,则创建正常文件的进程并运行。

  2、添加如下注册表项:

  [HKLM/Software/Microsoft/Windows/CurrentVersion/Run]

  "Internet Explorer Server"="C:/Program Files/Internet Explorer/icwtutor.com"

  3、启动IE进程,将病毒文件nppd32.dat注入IE进程,从如下网址读取病毒下载地址,下载病毒,该网址是加密的。

  http://www.04080.com/vip/1.txt

  解密后的病毒地址如下,为多种网络游戏木马:

  http://www.04080.com/vip/mhxy.exe

  http://www.04080.com/vip/gezi.exe

  http://www.04080.com/vip/huaxia.exe

  http://www.04080.com/vip/wlwz.exe

  http://www.04080.com/vip/mlbb.exe

  http://www.04080.com/vip/datang.exe

  4、遍历本地磁盘,搜索所有.exe,.scr为扩展名的文件,并感染。

  5、尝试通过局域网写//C$//AutoExec.bat传播自身。如果被局域网远程感染成功,系统重启后,会自动运行autoexec.bat从而启动病毒。

  6、病毒感染后的文件变成如下图标

 
 

  处理方法:

  1. 重启系统,按F8,选择带网络连接的安全模式

  2. 进入金山毒霸的安装目录,直接执行update.exe,将杀毒软件升级到最新。

  3. 全盘扫描修复被感染的执行文件

  4. 删除病毒添加的注册表启动项HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

  Internet Explorer Server--->C:/Program Files/Internet Explorer/icwtutor.com

  和文件C:/Program Files/Internet Explorer/icwtutor.com

  防护建议:

  1.建议至少每月一次通过Windows Update或金山毒霸的漏洞修复工具安装系统补丁;

  2.给系统管理员帐户设置足够复杂的管理员密码,安全的口令是字母、数字、特殊字符的组合,位数不少于7位。

  修改方法:在我的电脑上单击右键,选择管理,浏览到本地用户和组,在右边空格中找到administrator用户,单击右键,选择修改口令。

  3.通过控制面板,保持Windows防火墙是启用状态,或者确保金山网镖是启用状态,可以有效地阻挡病毒的入侵。

  4.关闭不必要的共享文件,方法是右键单击我的电脑,选择管理,浏览到共享文件夹,在右边窗格中停止不必要的共享文件夹。

(0)

相关推荐

  • “灯泡男”“神奇小子”(Win32.WizardBoy.a)病毒完整解决方案

    "前些天,电脑中了熊猫烧香,刚把'国宝'赶走没几天,今天上网下载了个小工具后,机器运行又开始变慢,有几个程序图标变成'帅哥'头像,眼睛比较突出象灯泡的样子,估计又中病毒了,真是郁闷!"用户陈先生无奈地表示. 金山毒霸反病毒专家戴光剑指出,这是一个名为"神奇小子"(Win32.WizardBoy.a)的感染型病毒,也有人叫"灯泡男"或"舞男头".该病毒可感染扩展名为exe和scr的可执行文件,并通过局域网传播,当网络可用时,病毒

  • 1980病毒完整解决方案

    "最近发现个奇怪的现象,我的系统时间总被改成1980年,改回来后电脑又自动改回去了.我问了朋友,说是主板电池没电了,我买了新电池装上也没搞定,昨天竟然发现QQ被盗了."用户张先生无奈地表示. 金山毒霸反病毒专家戴光剑表示,最近类似张先生的遭遇比较多,病毒篡改系统时间,因为修改后的时间都是1980年,所以很多网友称之为"1980病毒".病毒调整系统时间的目的是关闭杀毒软件的监控功能,然后在后台下载灰鸽子运行,这样,你的机器就同时中了1980和灰鸽子两个病毒.感染灰鸽子

  • Worm.Win32.AutoRun.bqn病毒分析解决

    一.病毒相关分析:        病毒标签:         病毒名称:Worm.Win32.AutoRun.bqn          病毒类型:蠕虫         危害级别:2         感染平台:Windows         病毒大小:21,504(字节)         SHA1 :01015B9F9231018A58A3CA1B5B6A27C269F807E6         加壳类型:PECompact V2.X-> Bitsum Technologies         开

  • recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法

    一.病毒描述:         病毒通过U盘传播,运行后复制自身到系统目录并释放一个灰鸽子木马.为增强隐蔽性,生成的病毒文件有回收站和安         装程序两种图标. 二.病毒基本情况:         病毒名称:Trojan-Dropper.Win32.VB.rj         病毒别名:无         病毒类型:病毒         危害级别:3         感染平台:Windows         病毒大小:458,752(字节)         SHA1 :b86e4197

  • 正则表达式re.sub替换不完整的问题及完整解决方案

    title: 正则表达式re.sub替换不完整的问题现象及其根本原因 toc: true comment: true date: 2018-08-27 21:48:22 tags: ["Python", "正则表达式"] category: ["Python"] --- 问题描述 问题的起因来自于一段正则替换.为了从一段HTML代码里面提取出正文,去掉所有的HTML标签和属性,可以写一个Python函数: import re def remove

  • 详解SpringBoot时间参数处理完整解决方案

    在JavaWeb程序的开发过程中,接口是前后端对接的主要窗口,而接口参数的接收有时候是一个令人头疼的事情,这其中最困扰程序猿的,应该是时间参数的接收. 比如:设置一个用户的过期时间,前端到底以什么格式传递参数呢?时间戳?还是2019-12-01 22:13:00这种格式?还是其他格式? 今天我就来总结一下SpringBoot Web应用接口接收时间类型参数的问题解决方案. 注:目前我对Spring源码的掌握还不是很好,所以这一篇仅仅总结一下解决方法,后面感悟多了会重写一下! 示例代码请前往:ht

  • MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决

    文件名称:devic.exe 文件大小:23304 bytes AV命名:(virustotal上仅卡吧一家报)Backdoor.Win32.SdBot.cok 加壳方式:未知 编写语言:VC 病毒类型:IRCbot 文件MD5:45de608d74ee4fb86b20da86dcbeb55c 行为分析: 1.释放病毒副本: C:\WINDOWS\devic.exe , 23304 字节 C:\WINDOWS\img5-2007.zip , 23456 字节 2.添加注册表,开机启动: HKEY

  • 用vbs实现的一款Worm.Win32.VB.fw病毒专杀

    在写了<Worm.Win32.VB.fw分析与清除方案>后,也没想到要写什么专杀,不过这些天好多同学都说中了这只病毒,我要是一个一个去解决,非忙死我不可!感染范围挺大的!我之前写了一篇<VBS编程打造自己的病毒专杀工具> ,VBS相对来说熟悉点,所以这次就用VBS来写个专杀吧--下面代码不懂的,请参考那篇介绍如何写自己的病毒专杀的文章吧. 复制代码 代码如下: on error resume next set w=getobject("winmgmts:") s

  • new win32病毒完美解决方案与清除技巧

    刚刚安装了系统,安装了McAfee,McAfee居然把它自己的安装程序setup.exe都删除了! 本来在此之前McAfee都干掉了几个.exe文件,我以为就那几个exe中毒了,就没有在意.但是此时McAfee干掉自家人,就有点问题了. 我找到日至,发现中了new win32病毒.这病毒能感染你所有的.exe文件,最后让你哭笑不得! 解决方案: 1:最好升级您的病毒库 2:重新启动计算机,启动带命令提示符的安全模式,然后在命令行输入: assoc .exe=exefile (assoc与.exe

  • ASP.NET MVC下基于异常处理的完整解决方案总结

    EntLib的异常处理应用块(Exception Handling Application Block)是一个不错的异常处理框架,它使我们可以采用配置的方式来定义异常处理策略.而ASP.NET MVC是一个极具可扩展开发框架,在这篇文章中我将通过它的扩展实现与EntLib的集成,并提供一个完整的解决异常处理解决方案. 一.基本异常处理策略 我们首先来讨论我们的解决方案具体采用的异常处理策略: 对于执行Controller的某个Action方法抛出的异常,我们会按照指定配置策略进行处理.我们可以采

随机推荐