● Windows使用者請務必做好Windows Update以預防電腦遭受病毒的系統漏洞攻擊
● ARP 病毒處理方法 2007/6
該木馬病毒不僅會影響自己的上網和資訊安全,還會波及全網,只要還有一台電腦感染該病毒,就會對學校的網路運行和資訊安全造成嚴重的威脅
發病特徵
區網內以前可正常上網的機器,突然出現可認證,不能上網的現象(無法ping通網關),重啟機器或在MSDOS窗口下運行命令ARP -d後,又可恢復上網一段時間。病毒發作時除了會導致同一局域網內的其他用戶出現時斷時續外,還會竊取用戶口令(如 QQ 、網路遊戲、網上銀行以及其他脆弱系統帳號等),這是木馬的慣用伎倆。
最近一次在系上發病的狀況,是會在使用者點選某些網站時,瀏覽器的讀取狀態列會出現「正在開啟網頁 http://6688.8911.cn/123.htm」,接著無法登入一些需要認證或者登入帳號密碼的網站如webmail或是學校的校友服務中心網頁。也使得受到波及的電腦網路連線時斷時續。
處理方法
步驟一: 確認本機是否中毒了
1.請利用您本機的防毒軟體進行電腦全面的掃描
2.使用趨勢科技ARP病毒專殺工具查殺病毒,KillArp.rar(自查是否中了ARP病毒,中了會自動清除)
下載後解壓縮,運行包內TSC.exe文件,不要關讓它一直運行完,最後查看report文檔便知是否中毒。Virus found count(1) 表明發現一個ARP病毒;Virus clean count(1)表明清除一個ARP病毒。Virus found count(0) 表明沒有發現ARP病毒;Virus clean count(0)表明沒有清除ARP病毒。
步驟二: 被害者自救方法 (並請盡速通知計算機室)
1. 在能正常上網時,進入MS-DOS視窗,輸入命令:arp -a,查看閘道的IP對應的正確MAC位址, 並將其記錄下來。
注意:如果已經不能上網,則先運行一次命令arp -d將arp緩存中的內容刪空,電腦可暫時恢復上網(攻擊如果不停止的話)。一旦能上網就立即將網路斷掉(禁用網卡或拔掉網線),再運行arp -a。
2. 用記事本編寫一個批次檔antiarp.bat,內容如下,然後將antiarp.bat 拉到"啟動"文件下。
比如:閘道140.114.82.254 對應00-0F-E2-45-C6-E8。
@echo off
arp -d
arp -s 140.114.80.254 00-0F-E2-45-C6-E8
※ 請根據所屬不同網段,修改實際的通訊閘IP 及網卡硬體位址再存檔使用,勿照抄
3. 使用AntiArp軟體抵御ARP攻擊。(每次重啟機器,需要自己運行AntiArp,並填寫本段通信閘IP),下載AntiARP.rar。解壓縮後,運行AntiArp。輸入本網段的通信閘ip地址後(若你不知道通信閘IP地址,可通過以下操作獲取:點擊"開始"按鈕->選擇"執行"->輸入"cmd"點擊"確定"->輸入"ipconfig"按retrun,"Default Gateway"後的IP地址就是通信閘地址。),點擊"獲取通信閘MAC地址",檢查通信閘IP地址和MAC地址無誤後,點擊"自動保護"。