ARP病毒

lyppoiuy

1、中毒者：使用趨勢科技ARP病毒專殺工具查殺病毒<br>
<br>
點擊這里打開趨勢科技ARP病毒專殺工具下載頁面。下載后解壓縮，運行包內TSC.exe文件，不要關讓它一直運行完，最后查看report文檔便知是否中毒。<br>
<br>
2、被害者：使用AntiArp軟件抵御ARP攻擊。<br>
<br>
點擊這里打開AntiArp軟件下載頁面。下載后解壓縮，運行AntiArp。輸入本網(wǎng)段的網(wǎng)關ip地址后，點擊&quot;獲取網(wǎng)關MAC地址&quot;，檢查網(wǎng)關IP地址和MAC地址無誤后，點擊&quot;自動保護&quot;。<br>
<br>
若不知道網(wǎng)關IP地址，可通過以下操作獲?。狐c擊&quot;開始&quot;按鈕-&gt;選擇&quot;運行&quot;-&gt;輸入&quot;cmd&quot;點擊&quot;確定&quot;-&gt;輸入&quot;ipconfig&quot;按回車，&quot;Default Gateway&quot;后的IP地址就是網(wǎng)關地址。<br>
<br>
AntiArp軟件會在提示框內出現(xiàn)病毒主機的MAC地址。<br>
<br><br>
<br>
關于防范ARP欺騙木馬程序（病毒）攻擊的通知 <br>
　　<br>
<br>近一段時間以來，校園網(wǎng)部分用戶受到一種名為ARP欺騙木馬程序（病毒）的攻擊（ARP是“Address Resolution Protocol”“地址解析協(xié)議”的縮寫），病毒發(fā)作時其癥狀表現(xiàn)為計算機網(wǎng)絡連接正常，卻打開網(wǎng)頁時斷時通；或由于ARP欺騙的木馬程序（病毒）發(fā)作時發(fā)出大量的數(shù)據(jù)包，導致校園網(wǎng)用戶上網(wǎng)不穩(wěn)定，極大地影響了校園網(wǎng)用戶的正常使用，給整個校園網(wǎng)的安全帶來嚴重的隱患。 <br><br>
<br>
病毒原理 <br>
　　當局域網(wǎng)內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內所有主機和交換機，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過交換機上網(wǎng)現(xiàn)在轉由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從交換機上網(wǎng)（此時交換機MAC地址表正常），切換過程中用戶會再斷一次線。該病毒發(fā)作時，僅影響同網(wǎng)段內機器的正常上網(wǎng)。 <br>
<br>
<br>
采取的措施 <br>一、校園網(wǎng)用戶要增強網(wǎng)絡安全意識，不要輕易下載、使用盜版和存在安全隱患的軟件；或瀏覽一些缺乏可信度的網(wǎng)站（網(wǎng)頁）；不要隨便打開不明來歷的電子郵件，尤其是郵件附件；不要隨便共享文件和文件夾，即使要共享，也得設置好權限，一般指定特定帳號或特定機器才能訪問，另外不建議設置可寫或可控制，以免個人計算機受到木馬病毒的侵入給校園網(wǎng)的安全帶來隱患。 <br>二、校園網(wǎng)計算機用戶要及時下載和更新操作系統(tǒng)的補丁程序，安裝正版的殺毒軟件，增強個人計算機防御計算機病毒的能力。 <br>三、用戶檢查和處理“ ARP 欺騙”木馬的方法。 <br>
　 1、檢查本機是否中的“ ARP 欺騙”木馬染毒 <br>
同時按住鍵盤上的“ CTRL + ALT +DEL ”鍵，選擇“任務管理器”，點選“進程”標簽。查看其中是否有一個名為“ MIR0.dat ”之類的進程。如果有，則說明已經(jīng)中毒。右鍵點擊此進程后選擇“結束進程”。 <br>
　 2、在受到ARP欺騙木馬程序（病毒）攻擊時，用戶可選擇下列方法的一種處理。 <br>方法一： <br>下載Anti ARP Sniffer軟件保護本地計算機正常運行（點擊下載-內有詳細使用說明）。同時把此軟件設為自動啟動，步驟：先把Antiarp.exe生成桌面快捷方式-&gt;選&quot;開始&quot;-&gt;&quot;程序&quot;-&gt;雙擊&quot;啟動&quot;-&gt;再把桌面上Antiarp.exe快捷鍵拷到&quot;啟動&quot;中，以保證下次開機自動運行，起到保護的作用。 <br>方法二： <br>
　　在“開始” - “程序” - “附件”菜單下調出“命令提示符”。輸入并執(zhí)行以下命令：ipconfig <br>
　　記錄網(wǎng)關 IP 地址，即“ Default Gateway ”對應的值，例如“ 10.1.4.1 ”。再輸入并執(zhí)行以下命令： <br>
arp –a <br>
　　在“ Internet Address ”下找到上步記錄的網(wǎng)關 IP 地址，記錄其對應的物理地址，即“ Physical Address ”值，例如“ 00-e0-fc-0f-8f-4d”。在網(wǎng)絡正常時這就是網(wǎng)關的正確物理地址，在網(wǎng)絡受“ ARP 欺騙”木馬影響而不正常時，它就是木馬所在計算機的網(wǎng)卡物理地址。 也可以掃描本子網(wǎng)內的全部 IP 地址，然后再查 ARP 表。如果有一個 IP 對應的物理地址與網(wǎng)關的相同，那么這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網(wǎng)卡物理地址。 本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網(wǎng)關 IP 地址和網(wǎng)關物理地址，然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令： <br>
　 arp –s 網(wǎng)關 IP 網(wǎng)關物理地址 。 <br>方法三：(只適用時出現(xiàn)故障時的臨時解決辦法） <br>
在“開始” - “程序” - “附件”菜單下調出“命令提示符”。輸入并執(zhí)行以下命令： <br>
arp -d <br>方法四： <br>局域網(wǎng)ARP攻擊免疫器(點擊下載)。（1）將這里面3個dll文件復制到windows\system32 里面，將npf 這個文件復制到 windows\system32\drivers 里面。（2）將這4個文件在安全屬性里改成只讀。也就是不允許任何人修改。 <br>
　 四、以下程序帶有此類ARP病毒（傳奇殺手等），請不要使用： <br>
　　傳奇2冰橙子1.44版 <br>
　　傳奇2及時雨PK版 <br>
　　&quot;網(wǎng)吧傳奇殺手&quot;的木馬軟件進行傳奇帳號和密碼的掃描 <br>
　　網(wǎng)絡執(zhí)法官等類似程序 <br>
　　五、若用戶未按上述要求采取任何安全措施，導致個人計算機在校園網(wǎng)上發(fā)送大量的病毒數(shù)據(jù)包，影響了校園網(wǎng)的安全，我中心將采取有效措施令其離線殺毒。<br>六、趨勢科技提供的ARP病毒清除工具(點擊下載)<br>
<br>