ARP病毒泛滥!!!!!ARP病毒处理全攻略
该木马病毒不仅会影响自己的上网和资讯安全,还会波及全网,只要还有一台电脑感染该病毒,就会对学校的网路运行和资讯安全造成严重的威胁,请各校园网用户务必行动起来,并请相互告知。以下程式带有此类ARP病毒(传奇杀手等),请不要使用:
****传奇2冰橙子1.44版
传奇2及时雨PK版
"网吧传奇杀手"的木马软体进行传奇帐号和口令的扫描
网路执法官等类似程式
1、中毒现象
宿舍内机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。病毒发作时除了会导致同一局域网内的其他用户出现时断时续外,还会窃取用户口令(如 QQ 、网路游戏、网上银行以及其他脆弱系统帐号等),这是木马的惯用伎俩。
2、我们VS病毒
这是APR病毒欺骗攻击造成的。
引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当有同学在宿舍局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其他机器误将其作为网关,这就是为什么掉线时内网是互通的,电脑却不能上网的原因。
该病毒主要通过 ARP 欺骗实施破坏行为。 ARP 欺骗分两种,一种是对路由器 ARP 表的欺骗;另一种是对内网,对内网 PC 的网关欺骗。第一种 ARP 欺骗的原理是-截获网关数据。它通知路由器一系列错误的内网 MAC 地址,并按照一定的频率不断的更新学习进行,使真实的地址资讯无法通过更新保存在路由器中,结果路由器的所有数据只能发送错误的 MAC 地址,造成正常的 PC 无法收到资讯。第二种 ARP 欺骗原理是-通过交换机的 MAC 地址学习机制,伪造网关。它的原理是建立假的网关,让被它欺骗的 PC 向假网关发送数据,而不是通过正常的路由器或交换途径寻找网关,造成在同一网关的所有 PC 无法访问网路。
3、网路解毒剂DIY
步骤一. 在能上网时,进入MS-DOS窗口,输入命令:
arp –a
查看网关IP对应的正确MAC地址,将其记录下来。
注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,电脑可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网路断掉(禁用网卡或拔掉网线),再运行arp –a。
步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保电脑不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令:
arp –s 网关IP 网关MAC
例如:假设电脑所处网段的网关为218.197.192.254,本机地址为218.197.192.1在电脑上运行arp –a后输出如下:
C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 dynamic
其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后搜寻做准备。
手工绑定的命令为:
arp –s 218.197.192.254 00-01-02-03-04-05
绑定完,可再用arp –a查看arp缓存,
C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在电脑关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的电脑,令其杀毒,方可解决。
找出病毒电脑的方法:
如果已有病毒电脑的MAC地址,可使用NBTSCAN软体找出网段内与该MAC地址对应的IP,即病毒电脑的IP地址,然后可报告校网路中心对其进行查封。
NBTSCAN的使用方法:
下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下,进入MSDOS窗口就可以输入命令:
nbtscan -r 218.197.192.0/24 (假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段)。
使用nbtscan时,有时因为有些电脑安装防火墙软体,nbtscan的输出不全,但在电脑的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内电脑IP与MAC的对应关系。
注:1、进入MSDOS窗口的方法:
“开始”功能表 岬 “运行” 岬 在打开位置输入cmd,点击确定
2、点击此链结
ftp://ftp.jnu.edu.cn/PUB1__S.../nbtscan.rar 可以下载。
如果你的机器受ARP病毒影响,利用这个工具找到原凶,为了你的利益,欢迎大家积极举报中ARP木马的机器!!!!
举报方式为:
http://wlwh.j...u.cn 用自己学号IP地址登陆,里面有一个举报选项!
下面方法是比较简单的预防ARP的处理办法,杀毒完毕后,如果仍有断线现象发生。以下两种方法解决:
1、 请点击此处下载arp免疫补丁,按照说明文件运行,即可保证网路正常。
ftp://ftp.jnu.edu.cn/PUB1__S.../arp/arp.rarARP病毒攻击免疫补丁为必装程式,若想更有力的抵抗ARP攻击请装ANTIARP软体,该软体不仅能保证你的电脑系统免遭ARP病毒攻击正常上网,而且可避免IP地址被别人盗用。
第二步:没有安装防病毒软体的,请及时安装防病毒软体
http://antivirus...du.cn/
