近期,一种新的“
ARP欺骗”木马病毒在互联网上扩散,我校校内也已发现数台机器感染此病毒,中毒用户会出现频繁断网的现象并导致其所属整个网段故障、
IE 浏览器频繁出错以及一些常用软件出现故障等问题。目前,已知传奇游戏的“传奇
2 冰橙子
1.14 ” 和“及时雨
PK 破解版”两种外挂存在着这种木马。请校园网用户及时更新病毒库和安装系统补丁,提高防范措施。中毒的机器会运行一个名为“
MIR0.dat”的进程,用户可通过察看任务管理器中的进程信息来判断本机是否感染该病毒。
Windows
用户可通过在命令行方式下执行“
arp –
s 网关
IP 网关
MAC地址”命令来减轻中毒计算机对本机的影响。网关
IP和
MAC地址可在网络工作正常时通过命令行方式下的“
arp –
a”命令来得到。
有上述故障现象的用户请将所在网段(校园网用户本机
IP地址在点分十进制表示时的前三位即为所属网段)及时报告网络中心以利于我们尽快定位和排除故障。
为保证大多数人正常上网,本通知发出后,我中心将对感染该病毒并影响其它用户上网的计算机采取停止所在端口联网权限(
2天以上直到查杀该病毒为止)的隔离措施。请用户互相转告。
图一
同时按住键盘上的 “
CTRL ” 和 “
ALT ” 键再按 “
DEL ” 键,选择 “ 任务管理器 ” ,点选 “ 进程 ” 标签。如果有“
MIR0.dat”,则说明已经中毒。右键点击此进程后选择 “ 结束进程 ” 。参见图一。
二、解决方法:
1
、
Windows用户可通过在命令行方式(开始”
- “程序”
- “附件”菜单下调出“命令提示符”)下执行“
arp –
s 网关
IP 网关
MAC地址”命令来减轻中毒计算机对本机的影响。网关
IP和
MAC地址可在网络工作正常时通过命令行方式下的“
arp –
a”命令来得到。同时请及时下载
Anti ARP Sniffer软件保护本地计算机正常运行(此软件的用法及下载见附录一)。
2
、避免类似网络安全问题的根本解决办法是定期更新操作系统和安装防病毒软件。系统未及时更新的同学请下载系统补丁。
附录一
Anti Arp Sniffer 的用法
双击
Antiarp文件,出现图二所示对话框。
图二
输入网关地址(网关地址获取方式:
[开始
] -->[程序
]--> [附件
]菜单下调出“命令提示符”,输入
ipconfig,其中
Default Gateway即为网关地址);点击获取网关
MAC地址,点击自动防护保证当前网卡与网关的通信不被第三方监听。
点击恢复默认,然后点击防止地址冲突,如频繁的出现
IP地址冲突,这说明攻击者频繁发送
ARP欺骗数据包。
右击
[我的电脑
]-->[管理
]-->点击
[事件查看器
]-->点击
[系统
]-->查看来源为
[TcpIP]--->双击事件可以看到显示地址发生冲突,并记录了该
MAC地址,请复制该
MAC
9
地址并填入
Anti ARP Sniffer的本地
MAC地址输入框中
(请注意将
:转换为
-),输入完成之后点击
[防护地址冲突
],为了使
MAC地址生效请禁用本地网卡然后再启用网卡,在
CMD命令行中输入
Ipconfig /all,查看当前
MAC地址是否与本地
MAC地址输入框中的
MAC地址相符,如果成功将不再会显示地址冲突。
