接信息中心通知,近一段时间以来有一些用户反映网络时断时续，网络速度较以前慢许多，而且这种情况一旦发生，用户单位局域网所有用户都不能正常上网。通过深入分析发现是因为局域网内部分用户受到一类名为ARP病毒程序的攻击，该病毒有许多变种。病毒发作时其症状表现为计算机网络连接正常，却无法打开网页，而且其他电脑也会出现网络链接速度变慢甚至断开，也就是“网络掉线了”。严重的影响了各用户的上网和正常工作。为了清除病毒，保证用户网络的正常运行，现将有关事项通知如下：

一、病毒原理 ：

　　当局域网内某台主机感染了该病毒时，会欺骗本局域网内所有主机，让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网现在转由通过病毒主机上网，切换过程中本局域网的用户会断一次线。由于该病毒发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当该病毒停止发作时，用户会恢复成正常上网状态，切换过程中用户电脑会再断一次线。病毒不断发作，就造成网络的时断时续。

二、病毒的破坏作用 ：

　　病毒发作时除了会导致其他电脑出现时断时续外，还会窃取用户密码（如 QQ 、网络游戏、网上银行以及其它脆弱系统帐号等），这是木马的惯用伎俩。

三、判断本机是否受到ARP欺骗攻击：

　　当用户计算机出现以下现象时，可能已经受到网内其他中“ARP欺骗”病毒计算机的攻击。

1、用户频繁断网、上网时感觉网络经常掉线，重新开机或修复本地连接（或先停用再启用）后网络恢复正常但几分钟后网络再次中断。

2、IE 浏览器在使用过程中频繁出错或自动关闭网页。

3、一些常用软件经常出现故障或非正常自动关闭。

四、判断本机是否感染该病毒：

目前，已知传奇游戏的“传奇 2 冰橙子 1.14 ”和“及时雨 PK 破解版”两种外挂存在着这种木马病毒。中毒的机器会运行一个名为“MIR0.dat”的进程，用户可通过察看任务管理器中的进程信息来判断本机是否感染该病毒。同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。如果有“MIR0.dat”，则说明已经中毒。右键点击此进程后选择“结束进程”。参见图一。

注意：这只是中毒后的一个症状，可能还会有其他变种，请用户一定要升级杀毒软件的病毒库后，再全面查杀病毒。

五、中毒解决方法

在用户找到在感染病毒的电脑后，需要立即断开网络，以免影响其他电脑使用。然后重新启动到DOS模式下，用杀毒软件进行全面杀毒。一般情况下，感染该类病毒的电脑一般都没有采用病毒防火墙、网络防火墙之类软件进行防护，甚至连操作系统的安全更新补丁程序也没有安装过，这类电脑往往中了不止一个类型的病毒，有些病毒采用系统服务或系统驱动的技术潜伏于电脑中，用杀毒软件也不能有效清除，在遇到这种情况时，只有重新安装操作系统才能解决。

六、未中毒但受影响用户的解决办法

1、建议下载Anti ARP Sniffer软件保护本地计算机正常运行（此软件的用法及下载见附录一）。

2、建议用户下载网络防火墙（如风云防火墙，下载见附件）软件安装，对电脑的上网进行保护和监控。

3、避免类似网络安全问题的根本解决办法是定期更新操作系统和安装防病毒软件。

七、安全建议：

1、经常给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)

2、给系统管理员帐户设置足够复杂的强密码，最好能是12位以上，字母+数字+符号的组合；也可以禁用/删除一些不使用的帐户

3、安装并经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。

4、关闭一些不需要的服务，条件允许的可关闭一些没有必要的共享，也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务

5、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。

6、要增强网络安全意识，培养良好的使用习惯。不要轻易下载、使用不了解和存在安全隐患的软件；或浏览一些缺乏可信度的网站（网页），以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。绝对的匿名是不可能实现的, 无论是在真实的生活中还是在WEB上。

7、网络安全靠大家。校园网是公共服务设施，保障网络安全不仅是网络中心的工作，更是每位网络用户应尽的义务。只有依靠大家群策群力、群防群治，网络才能长治久安。

八、管理措施

此类ARP攻击虽危害巨大，但由于攻击范围仅限本网段而难以监控，请广大用户积极配合，及时将有关情况通告网络管理员。一旦确认攻击源，无论是无意中毒还是有意攻击，将先封闭其交换机端口，待病毒清除后再行解封。
 

附录一 Anti Arp Sniffer（附件中下载） 的用法

双击Anti Arp图表，出现图二所示对话框。

输入网关地址，(点击“开始”->“运行”，在窗口中输入“cmd”,点“确定”，调出“命令提示符”。输入并执行以下命令：ipconfig à网关 IP 地址，即“ Default Gateway ”对应的值，例如“172.26.2.1”。)

点击获取网关MAC地址，点击自动防护保证当前网卡与网关的通信不被第三方监听。

软件下载地址

小水电办公网:

FTP://10.82.49.251
家庭网:

FTP://10.82.0.3

文章录入：duhuaj    责任编辑：duhuaj