 |
 |
 |
敬告网络用户警惕新的“ARP欺骗”木马病毒 |
|
| |
|
|
近期校网内爆发一种新的“ARP欺骗”木马病毒,ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致网络运行不稳定,频繁断网、IE浏览器频繁出错以及一些常用软件出现故障等问题,极大地影响了城域网的运行质量。为了保证校园网络的安全畅通,现将有关事项公告如下: 一、故障现象及原因分析 情况一、当局域网内某台主机感染了ARP病毒时,会向本局域网内所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网。因客户端具有防代理功能,造成受害者无法通过病毒主机上网。 由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动或其他措施。此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。 情况二、局域网内有某些用户使用了ARP欺骗程序(如:网络执法官、网络剪刀手、传奇木马、QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。 二、故障诊断 如果用户发现以上疑似情况,可以通过如下操作进行诊断: 方法一、点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。 注:“arp -d”命令用于清除并重建本机arp表。“arp -d”命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。 方法二、点击“开始”按钮->选择“运行”->输入“cmd”->点击“确定”按钮,进入命令行方式下,运行“arp -a”显示本机中的arp更新表,在此表中发现有重复的网卡MAC地址,那么就受到了ARP攻击,并且病毒源基本上就是此MAC的网卡所在的电脑。 注:检查网卡的MAC地址,在“cmd”方式下,运行“ipconfig /all”,“Physical Address”所对应的那一项就是MAC地址。也可以用专用工具如“mac扫描器(见附件mac.rar)”等扫描局域网内所有电脑的ip、mac、机器名等。 请有电脑的自行对照。尽早消除病毒。 三、故障处理 1、中毒者:使用趋势科技ARP病毒专杀工具查杀病毒(不一定对所有“ARP欺骗”病毒的变种有效)。 [url=]趋势科技ARP病毒专杀工具[/URL](见附件arp_kill.rar)下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。 2、被害者:使用AntiArp软件抵御ARP攻击。 AntiArp软件(见附件antiarp_kill.rar)下载后解压缩,运行AntiArp。输入本网段的网关ip地址后,点击“获取网关MAC地址”,检查网关IP地址和MAC地址无误后,点击“自动保护”。 AntiArp软件会在提示框内出现病毒主机的MAC地址。 四、日常安全守则 1、及时更新操作系统补丁、安装可*的杀毒软件并及时更新病毒库。补丁就是操作系统的疫苗,打一个就防一种威胁,打得越全越安全。安装防病毒软件,如:Mcafee、卡巴斯基、瑞星、金山、江民。 注意:目前国内主流的计算机防毒软件只能避免自己电脑主机感染ARP病毒,但无法抵御同网段其它已感染ARP病毒的计算机的病毒攻击。 2、不要随便打开不明来历的电子邮件,尤其是邮件附件。 3、不要随便登陆不明网站,特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。对进行网上交易要特别慎重! 4、使用移动存储介质进行数据访问时,先对其进行病毒检查。 5、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。 6、要增强网络安全意识,培养良好的使用习惯。 不要轻易下载、使用不了解和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页),以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。 7、网络是公共服务设施,保障网络安全不仅是网络管理员的工作,更是每位网络用户应尽的义务。只有依*大家群策群力、群防群治,网络才能长治久安。 |
|
 |
|
| 录入者:Admin | |
| 下一篇:没有了 | |
| 【关闭窗口】 |
|
 |
|
