关于防范ARP欺骗病毒攻击的通知
2006-11-10 19:32
各位用户:
近一段时间以来,有一些用户反映网络时断时续,网络速度较以前慢许多,而且这种情况一旦发生,用户单位局域网所有用户都不能正常上网。通过深入分析发现是因为局域网内部分用户受到一类名为ARP病毒程序的攻击,该病毒有许多变种。病毒发作时其症状表现为计算机网络连接正常,却无法打开网页,而且其他电脑也会出现网络链接速度变慢甚至断开,也就是“网络掉线了”。严重的影响了各用户的上网和正常工作。为了清除病毒,保证用户网络的正常运行,现将有关事项通知如下:
一、病毒原理 :
当局域网内某台主机感染了该病毒时,会欺骗本局域网内所有主机,让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网现在转由通过病毒主机上网,切换过程中本局域网的用户会断一次线。由于该病毒发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当该病毒停止发作时,用户会恢复成正常上网状态,切换过程中用户电脑会再断一次线。病毒不断发作,就造成网络的时断时续。
二、病毒的破坏作用 :
病毒发作时除了会导致其他电脑出现时断时续外,还会窃取用户密码(如 QQ 、网络游戏、网上银行以及其它脆弱系统帐号等),这是木马的惯用伎俩。
三、检查防范病毒影响网络的方法:
方法一:下载Anti ARP Sniffer软件保护本地计算机正常运行。同时把此软件设为自动启动,步骤:先把Antiarp.exe生成桌面快捷方式->选"开始"->"程序"->双击"启动"->再把桌面上Antiarp.exe快捷键拷到"启动"中,以保证下次开机自动运行,起到保护的作用。
方法二:在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:ipconfig 记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 182.168.0.1 ”。再输入并执行以下命令:arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“00-0e-02-59-f3-80”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。 也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。 本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令:arp –s 网关 IP 网关物理地址 (如 arp -s 192.168.0.1 00-0e-02-59-f3-80) 。
四、清除病毒
在用户找到在感染病毒的电脑后,需要立即断开网络,以免影响其他电脑使用。然后重新启动到DOS模式下,用杀毒软件进行全面杀毒。一般情况下,感染该类病毒的电脑一般都没有采用病毒防火墙、网络防火墙之类软件进行防护,甚至连操作系统的安全更新补丁程序也没有安装过,这类电脑往往中了不止一个类型的病毒,有些病毒采用系统服务或系统驱动的技术潜伏于电脑中,用杀毒软件也不能有效清除,在遇到这种情况时,只有重新安装操作系统才能解决。
五、安全建议:
1、经常给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)
2、给系统管理员帐户设置足够复杂的强密码,最好能是12位以上,字母+数字+符号的组合;也可以禁用/删除一些不使用的帐户
3、安装并经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
4、关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务
5、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
六、特别提示
此次出现的木马病毒不仅会影响自己的上网和信息安全,还会波及用户单位内的所有电脑,对网络运行和信息安全是一个严重的威胁。请各位用户务必行动起来,并请相互告知。
