【編者注：為安全起見，文中全部“http”均被改為“hxxp”！】

“前些天，電腦中了熊貓燒香，剛把‘國寶’趕走沒幾天，今天上網下載了個小工具后，機器運行又開始變慢，有幾個程序圖標變成‘帥哥’頭像，眼睛比較突出象燈泡的樣子，估計又中病毒了，真是郁悶！”用戶陳先生無奈地表示。

金山毒霸反病毒專家戴光劍指出，這是一個名為“神奇小子”（Win32.WizardBoy.a）的感染型病毒，也有人叫“燈泡男”或“舞男頭”。該病毒可感染擴展名為exe和scr的可執行文件，并通過局域網傳播，當網絡可用時，病毒還將從網上下載其他病毒。

據金山毒霸的專家介紹，“燈泡男”與“熊貓燒香”從病毒行為上講非常相似，雖然“燈泡男”暫時還沒有大規模爆發，但用戶仍然需要提高警惕。下面是毒霸的專家對這個病毒的詳細分析，希望對用戶有所幫助。

“神奇小子”（Win32.WizardBoy.a）病毒行為分析

1、釋放病毒體文件到C:\Program Files\Internet Explorer\icwtutor.com，并釋放病毒dll文件到C:\Program Files\Internet Explorer\PLUGINS\nppd32.dat，若含有被感染后的文件，則創建正常文件的進程并運行。

2、添加如下注冊表項：

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Internet Explorer Server"="C:\Program Files\Internet Explorer\icwtutor.com"

3、啟動IE進程，將病毒文件nppd32.dat注入IE進程，從如下網址讀取病毒下載地址，下載病毒，該網址是加密的。

hxxp://www.04080.com/vip/1.txt

解密后的病毒地址如下，為多種網絡游戲木馬：

hxxp://www.04080.com/vip/mhxy.exe
hxxp://www.04080.com/vip/gezi.exe
hxxp://www.04080.com/vip/huaxia.exe
hxxp://www.04080.com/vip/wlwz.exe
hxxp://www.04080.com/vip/mlbb.exe
hxxp://www.04080.com/vip/datang.exe

4、遍歷本地磁盤，搜索所有.exe，.scr為擴展名的文件，并感染。

5、嘗試通過局域網寫\\C$\\AutoExec.bat傳播自身。如果被局域網遠程感染成功，系統重啟后，會自動運行autoexec.bat從而啟動病毒。

6、病毒感染后的文件變成如下圖標

處理方法：

1.重啟系統，按F8，選擇帶網絡連接的安全模式

2.進入金山毒霸的安裝目錄，直接執行update.exe，將殺毒軟件升級到最新。

3.全盤掃描修復被感染的執行文件。

4.刪除病毒添加的注冊表啟動項

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Internet Explorer Server--->C:\Program Files\Internet Explorer\icwtutor.com

防護建議：

1.建議至少每月一次通過Windows Update或金山毒霸的漏洞修復工具安裝系統補丁。

2.給系統管理員帳戶設置足夠復雜的管理員密碼，安全的口令是字母、數字、特殊字符的組合，位數不少于7位。

修改方法：在我的電腦上單擊右鍵，選擇管理，瀏覽到本地用戶和組，在右邊空格中找到administrator用戶，單擊右鍵，選擇修改口令。

3.通過控制面板，保持Windows防火墻是啟用狀態，或者確保金山網鏢是啟用狀態，可以有效地阻擋病毒的入侵。

4.關閉不必要的共享文件，方法是右鍵單擊我的電腦，選擇管理，瀏覽到共享文件夾，在右邊窗格中停止不必要的共享文件夾。