近期,出现一种新的“ARP欺骗”木马病毒在互联网上迅速扩散,我校校园网内用户及家属区用户均有计算机感染了此病毒,表现为用户频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题。目前,已知传奇游戏的“传奇 2 冰橙子 1.14 ”和“及时雨 PK 破解版”两种外挂存在着这种木马。为了用户能正常使用网络请用户对自己的计算机进行检查,并采取防护措施。
一、检查计算机是否感染该病毒
中毒的计算机会运行一个名为“MIR0.dat”的进程,用户可通过察看任务管理器中的进程信息来判断计算机是否感染该病毒。操作步骤:同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,出现下图。
图一
在 “Windows任务管理器”窗口,点选“进程”标签。如果有“MIR0.dat”,则说明已经中毒。右键点击此进程后选择“结束进程”。参见图一。
针对感染该病毒的计算机,市面上常见的杀毒软件只要及时更新病毒库以及及时升级系统补丁,基本都可以防御该病毒感染。该病毒特性,会造成同一网段的所有上线计算机均无法正常连接网络。由于病毒影响范围大,本通知公布后,网络中心有权取消感染该病毒的计算机上网权,直至用户修复系统。
用户需要自觉的对自己所使用计算机的软硬件故障,漏洞,病毒等问题做好及时防范工作,出现相关问题,及时与相关产品供应商索取修复解决方法。为避免类似网络安全问题的根本解决办法是定期更新操作系统和安装防病毒软件并按时升级病毒库。系统未及时更新的用户请下载系统补丁。
二、针对未感染病毒,而受到影响的计算机解决方法:
1、 Windows用户可通过在命令行方式(开始” - “程序” - “附件”菜单下调出“命令提示符”)下执行“arp ?Cs 网关IP 网关MAC地址”命令来减轻中毒计算机对本机的影响。网关IP和MAC地址可在网络工作正常时通过命令行方式下的“arp ?Ca”命令来得到。
2、 使用Anti ARP Sniffer软件保护本地计算机正常运行(此软件的用法及下载见附录一)。
附录一 Anti Arp Sniffer 的用法
双击Anti Arp图表,出现图二所示对话框。
图二
输入网关地址(网关地址获取方式:[开始] -->[程序]--> [附件]菜单下调出“命令提示符”,输入ipconfig,其中Default Gateway即为网关地址);点击获取网关MAC地址,点击自动防护保证当前网卡与网关的通信不被第三方监听。
点击恢复默认,然后点击防止地址冲突,如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包。
右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果成功将不再会显示地址冲突。
注:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡;本软件不支持多网卡,部分网卡可能更改MAC会无效。