ARP病毒

lyppoiuy

1、中毒者：使用趋势科技ARP病毒专杀工具查杀病毒<br>
<br>
点击这里打开趋势科技ARP病毒专杀工具下载页面。下载后解压缩，运行包内TSC.exe文件，不要关让它一直运行完，最后查看report文档便知是否中毒。<br>
<br>
2、被害者：使用AntiArp软件抵御ARP攻击。<br>
<br>
点击这里打开AntiArp软件下载页面。下载后解压缩，运行AntiArp。输入本网段的网关ip地址后，点击&quot;获取网关MAC地址&quot;，检查网关IP地址和MAC地址无误后，点击&quot;自动保护&quot;。<br>
<br>
若不知道网关IP地址，可通过以下操作获取：点击&quot;开始&quot;按钮-&gt;选择&quot;运行&quot;-&gt;输入&quot;cmd&quot;点击&quot;确定&quot;-&gt;输入&quot;ipconfig&quot;按回车，&quot;Default Gateway&quot;后的IP地址就是网关地址。<br>
<br>
AntiArp软件会在提示框内出现病毒主机的MAC地址。<br>
<br><br>
<br>
关于防范ARP欺骗木马程序（病毒）攻击的通知 <br>
　　<br>
<br>近一段时间以来，校园网部分用户受到一种名为ARP欺骗木马程序（病毒）的攻击（ARP是“Address Resolution Protocol”“地址解析协议”的缩写），病毒发作时其症状表现为计算机网络连接正常，却打开网页时断时通；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致校园网用户上网不稳定，极大地影响了校园网用户的正常使用，给整个校园网的安全带来严重的隐患。 <br><br>
<br>
病毒原理 <br>
　　当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和交换机，让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网现在转由通过病毒主机上网，切换的时候用户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从交换机上网（此时交换机MAC地址表正常），切换过程中用户会再断一次线。该病毒发作时，仅影响同网段内机器的正常上网。 <br>
<br>
<br>
采取的措施 <br>一、校园网用户要增强网络安全意识，不要轻易下载、使用盗版和存在安全隐患的软件；或浏览一些缺乏可信度的网站（网页）；不要随便打开不明来历的电子邮件，尤其是邮件附件；不要随便共享文件和文件夹，即使要共享，也得设置好权限，一般指定特定帐号或特定机器才能访问，另外不建议设置可写或可控制，以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。 <br>二、校园网计算机用户要及时下载和更新操作系统的补丁程序，安装正版的杀毒软件，增强个人计算机防御计算机病毒的能力。 <br>三、用户检查和处理“ ARP 欺骗”木马的方法。 <br>
　 1、检查本机是否中的“ ARP 欺骗”木马染毒 <br>
同时按住键盘上的“ CTRL + ALT +DEL ”键，选择“任务管理器”，点选“进程”标签。查看其中是否有一个名为“ MIR0.dat ”之类的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。 <br>
　 2、在受到ARP欺骗木马程序（病毒）攻击时，用户可选择下列方法的一种处理。 <br>方法一： <br>下载Anti ARP Sniffer软件保护本地计算机正常运行（点击下载-内有详细使用说明）。同时把此软件设为自动启动，步骤：先把Antiarp.exe生成桌面快捷方式-&gt;选&quot;开始&quot;-&gt;&quot;程序&quot;-&gt;双击&quot;启动&quot;-&gt;再把桌面上Antiarp.exe快捷键拷到&quot;启动&quot;中，以保证下次开机自动运行，起到保护的作用。 <br>方法二： <br>
　　在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令：ipconfig <br>
　　记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 10.1.4.1 ”。再输入并执行以下命令： <br>
arp –a <br>
　　在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-e0-fc-0f-8f-4d”。在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。 也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。 本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令： <br>
　 arp –s 网关 IP 网关物理地址 。 <br>方法三：(只适用时出现故障时的临时解决办法） <br>
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令： <br>
arp -d <br>方法四： <br>局域网ARP攻击免疫器(点击下载)。（1）将这里面3个dll文件复制到windows\system32 里面，将npf 这个文件复制到 windows\system32\drivers 里面。（2）将这4个文件在安全属性里改成只读。也就是不允许任何人修改。 <br>
　 四、以下程序带有此类ARP病毒（传奇杀手等），请不要使用： <br>
　　传奇2冰橙子1.44版 <br>
　　传奇2及时雨PK版 <br>
　　&quot;网吧传奇杀手&quot;的木马软件进行传奇帐号和密码的扫描 <br>
　　网络执法官等类似程序 <br>
　　五、若用户未按上述要求采取任何安全措施，导致个人计算机在校园网上发送大量的病毒数据包，影响了校园网的安全，我中心将采取有效措施令其离线杀毒。<br>六、趋势科技提供的ARP病毒清除工具(点击下载)<br>
<br>