注意防范“ARP欺骗”木马病毒

小阎王

近期国内很多单位和学校的局域网爆发一种新的“ARP欺骗”木马病毒，病毒发作时其症状表现为计算机网络连接正常，能登陆成功却无法打开网页；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致网络运行不稳定，频繁断网、IE浏览器频繁出错以及一些常用软件出现故障等问题，极大地影响了用户的正常使用。为了保证网络的安全畅通，现将有关事项公告如下:

一、故障现象及原因分析

情况一、当网内某台主机感染了ARP病毒时，会向本地网内（指某一网段，比如：10.8.0.0这一段）所有主机发送ARP欺骗攻击，让原本流向网络中心的流量改道流向病毒主机，并通过病毒主机代理上网。因客户端具有防代理功能，造成受害者无法通过病毒主机上网。

    由于病毒发作时发出大量数据包会将网络拥塞，大家会感觉上网速度越来越慢。中毒者同样如此，受其自身处理能力的限制，感觉运行速度很慢时，可能会采取重新启动或其他措施。此时病毒短时间停止工作，大家会感到网络恢复正常。如此反复，就造成网络时断时续。

情况二、本地网内有某些用户使用了ARP欺骗程序（如：网络执法官、网络剪刀手、传奇木马、QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。



二、故障诊断

如果用户发现以上疑似情况，可以通过如下操作进行诊断：

点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。

注："arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。


三、故障处理

使用趋势科技ARP病毒专杀工具查杀病毒

下载趋势科技ARP病毒专杀工具(TSC.rar)。下载后解压缩，运行包内TSC.exe文件，不要关让它一直运行完，最后查看report文档便知是否中毒。