关于清除ARP木马(病毒)的紧急通知
近一段时间以来,校园网部分用户受到一种名为 ARP 欺骗木马程序(病毒)的攻击( ARP 是“ Address Resolution Protocol ”“地址解析协议”的缩写),病毒发作时其症状表现为计算机网络连接正常,却无法打开网页,无法 ping 通网关及 DNS ;或由于 ARP 欺骗的木马程序(病毒)发作时发出大量的数据包,导致校园网用户上网不稳定,掉线频繁。当局域网内某台主机运行 ARP 欺骗的木马程序时,会欺骗局域网内所有主机和路由器(交换机),让所有上网的流量必须经过病毒主机,切换的时候用户会断一次线,极大地影响了校园网用户的正常使用。 arp 木马对局域网影响极大,国内几乎所有的局域网都未能幸免。
ARP 病毒的处理方法
一、软件恢复(保护)法
在受到 ARP 欺骗木马程序(病毒)攻击时,用户首先按下列操作:“开始” - “运行” - “ cmd ”回车 - “ c:\ 提示符”状态下输入“ arp -d ”恢复正常上网,并及时下载 Anti ARP Sniffer 专杀软件保护本地计算机正常运行(点击下载,安装配置前,请先查看帮助)。
特别提醒上网用户务必采取以下措施:
1、上网用户要增强网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件,以免个人计算机受到木马病毒的侵入给通信公司网络的安全带来隐患。2、 上网用户要及时下载和更新操作系统的补丁程序,安装正版的杀毒软件,及时升级,增强个人计算机防御计算机病毒的能力。
二、 手工解决方法 :
1 、中毒的计算机会运行一个名为“ MIR0.dat ”的进程,用户可通过察看任务管理器中的进程信息来判断计算机是否感染该病毒。那么我们是可以考虑阻止该文件运行。打开组策略( gpedit.msc )管理模板 -- 系统 -- 不要运行指定的 WINDOWS 应用程序项目中添加“ MIR0.DAT ”项
2 、在 PC 机上绑定交换机(路由器) IP 和 MAC 地址,用记事本编写一个批处理文件 rarp.bat ,内容如下:
@echo off
arp -d
arp -s 网关 IP 网关 MAC
将这个批处理软件拖到“ windows-- 开始 -- 程序 -- 启动”中。重新启动机器, OK 。
(1) 查找网关 MAC 的方法:
步骤一 . 在能上网时,进入 MS-DOS 窗口,输入命令: arp – a 查看网关 IP 对应的正确 MAC 地址,将其记录下来。
注:如果已经不能上网,则先运行一次命令 arp – d 将 arp 缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行 arp – a 。
例如:假设计算机所处网段的网关为 211.83.76.1 ,本机地址为 211.83.76.253 在计算机上运行 arp – a 后输出如下:
C:\>arp -a
Interface: 211.83.76.253 --- 0x1002
Internet Address Physical Address Type
211.83.76.1 00-14-a9-9a-7b-01 dynamic
其中 00-14-a9-9a-7b-01 就是网关 211.83.76.1 对应的 MAC 地址,类型是动态( dynamic )的,因此是可被改变。
手工绑定的命令为:
arp – s 211.83.78.1 00-14-a9-9a-7b-01
绑定完,可再用 arp – a 查看 arp 缓存,
C:\>arp -a
Interface: 211.83.76.253 --- 0x1002
Internet Address Physical Address Type
211.83.76.1 00-14-a9-9a-7b-01 static
这时,类型变为静态( static ),就不会再受攻击影响了。
另一方面其他正常的电脑,也需要加强安全防护,做好上述的步骤并及时安装系统补丁。