近期,监测到校园网内感染并传播了一种新的“ARP欺骗”木马病毒,网内多次发现机器感染此病毒,主要症状表现为用户频繁断网、IE 浏览器频繁出错。
目前,已知传奇游戏的“传奇 2 冰橙子 1.14 ”和“及时雨 PK 破解版”等软件外挂这种木马。
一、判断本机是否感染该病毒:
1.典型症状是刚开机能上网,几分钟之后断网,过一会又能上网,或者重启一遍电脑就可以上网,一会又不好了,如此不断重复,造成校园网的不稳定,影响正常使用;
2、中毒的机器会运行一个名为“MIR0.dat”的进程,用户可通过察看任务管理器中的进程信息来判断本机是否感染该病毒。
注意:这是中毒后的一个症状,可能还会有其他变种,请用户一定要升级杀毒软件的病毒库后,再全面查杀病毒。再次强调网络用户一定要安装杀毒软件,若用户未按上述要求采取任何安全措施,导致个人计算机在校园网上发送大量的病毒数据包,影响了校园网的安全。
对于感染病毒的用户,网络中心将根据其产生的后果严重程度,采取提醒警告乃至暂时关闭网络接入端口等必要措施来保障校园网正常运行。
二、解决方法:
1.ARP病毒专杀工具下载 arptsc.rar (务必下载安装后查杀);
2.下载Anti ARP Sniffer软件 AntiArp3.1.rar 保护本地计算机正常运行(此软件的用法见下图);
Anti Arp Sniffer图
输入网关地址(点击“开始”,“运行”,在窗口中输入“cmd”,点“确定”,调出“命令提示符”。输入并执行以下命令:ipconfig /all,“Default Gateway”后面对应的值就是用户所在子网的网关地址!)
点击“枚取MAC地址”,点击“自动保护”保证当前网卡与网关的通信不被第三方监听,最后选中“开机自动运行软件” 即完成了软件设置工作!
3.如运行AntiArp程序仍无效果,可下载系统补丁以作尝试:
WINXP系统ARP病毒补丁 arp-xp.rar
三、安全建议
1.给系统安装补丁程序,可以通过 Windows Update 安装好系统补丁程序 ( 关键更新、安全更新和 Service Pack);
2.经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵;
3.不要随便点击打开 QQ 、 MSN 等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等;
4.给系统管理员帐户(通常为administrator)设置足够复杂的强密码,最好能有6 位以上,用字母 + 数字 + 符号的组合,也可以禁用或删除一些不使用的帐户;
5.关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括 C$ 、 D$ 等管理共享。完全单机的用户也可直接关闭 Server 服务。