2月1日北京报道 “前些天,电脑中了熊猫烧香,刚把‘国宝’赶走没几天，今天上网下载了个小工具后，机器运行又开始变慢，有几个程序图标变成' 帅哥' 头像，眼睛比较突出象灯泡的样子，估计又中病毒了，真是郁闷！”用户陈先生无奈地表示。

金山毒霸反病毒专家戴光剑指出，这是一个名为"神奇小子"(Win32.WizardBoy.a)的感染型病毒，也有人叫“灯泡男”或“舞男头”。该病毒可感染扩展名为exe和scr的可执行文件，并通过局域网传播，当网络可用时，病毒还将从网上下载其他病毒。

据专家介绍，“灯泡男”与“熊猫烧香”从病毒行为上讲非常相似，虽然“灯泡男”暂时还没有大规模爆发，但用户仍然需要提高警惕。下面是毒霸的专家对这个病毒的详细分析，希望对用户有所帮助。

“神奇小子”(Win32.WizardBoy.a)病毒行为分析

1、释放病毒体文件到C:Program FilesInternet Explorericwtutor.com，并释放病毒dll文件到C:Program FilesInternet ExplorerPLUGINSnppd32.dat，若含有被感染后的文件，则创建正常文件的进程并运行。

2、添加如下注册表项：

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

“Internet Explorer Server"="C:Program FilesInternet Explorericwtutor.com”

3、启动IE进程，将病毒文件nppd32.dat注入IE进程，从如下网址读取病毒下载地址，下载病毒，该网址是加密的。

hxxp://04080.com/vip/1.txt

解密后的病毒地址如下，为多种网游木马：

04080.com/vip/mhxy.exe

04080.com/vip/gezi.exe

04080.com/vip/huaxia.exe

04080.com/vip/wlwz.exe

04080.com/vip/mlbb.exe

04080.com/vip/datang.exe

4、遍历本地磁盘，搜索所有.exe，.scr为扩展名的文件，并感染。

5、尝试通过局域网写C$AutoExec.bat传播自身。如果被局域网远程感染成功，系统重启后，会自动运行autoexec.bat从而启动病毒。

6、病毒感染后的文件变成如下图标

处理方法:

1. 重启系统，按F8，选择带网络连接的安全模式

2. 进入金山毒霸的安装目录，直接执行update.exe，将杀毒软件升级到最新。

3. 全盘扫描修复被感染的执行文件

4. 删除病毒添加的注册表启动项

KEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

Internet Explorer Server--->C:Program FilesInternet Explorericwtutor.com

和文件C:Program FilesInternet Explorericwtutor.com

防护建议:

1.建议至少每月一次通过Windows Update或金山毒霸的漏洞修复工具安装系统补丁；

2.给系统管理员帐户设置足够复杂的管理员密码，安全的口令是字母、数字、特殊字符的组合，位数不少于7位。

修改方法：在我的电脑上单击右键，选择管理，浏览到本地用户和组，在右边空格中找到administrator用户，单击右键，选择修改口令。

3.通过控制面板，保持Windows防火墙是启用状态，或者确保金山网镖是启用状态，可以有效地阻挡病毒的入侵。

4.关闭不必要的共享文件，方法是右键单击我的电脑，选择管理，浏览到共享文件夹，在右边窗格中停止不必要的共享文件夹。(SY)