各校园网用户:
“ARP欺骗”木马(病毒)的特征
近期在全国范围内大规模爆发ARP病毒及其各种变种。我校校园网内目前已经发现许多台电脑中毒,电脑中毒后会向同网段内所有计算机发ARP欺骗包,由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢、时断时续,掉线,甚至无法上网,同时造成整个校园网的不稳定。
解决方法
一、由于该病毒影响了整个网段内用户的正常上网,一旦查到病毒机器,信息网络中心在迫不得已时将停用该机器的上联交换机端口(直到机器病毒被清除),以保证其他机器正常上网,敬请谅解!查出病毒后请进行彻底杀毒,由于目前尚没有发现哪种杀毒软件能彻底清除ARP病毒,所以网络中心建议将机器格式化并重装系统。诸如“木马杀客”等木马专杀工具软件可在一定程度上对部分ARP木马(病毒)进行清除,建议感染了该病毒的机器安装使用。
二、校园网用户要增强网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件;不要随便共享文件和文件夹,即使要共享,也得设置好权限,一般指定特定帐号或特定机器才能访问,另外不建议设置可写或可控制,以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。
三、校园网用户一定要及时下载和更新操作系统的补丁程序,安装正版的杀毒软件,增强个人计算机防御计算机病毒的能力。
四、用户检查和处理“ ARP 欺骗”木马的方法。
1. 检查本机是否中的“ ARP 欺骗”木马染毒,同时按住键盘上的“ CTRL + ALT +DEL ”键,选择“任务管理器”,点选“进程”标签。查看其中是否有一个名为“ MIR0.dat ”之类的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
2. 检查本地计算机是否被ARP病毒攻击的方式:开始-运行,输入“cmd”确定,启动Ms-dos程序,在其中输入:arp -a回车;如果在输出中看到除网关之外的其他IP地址,说明本地计算机正处于arp病毒的攻击中,请将除网关之外的其他IP地址举报到网络信息中心,我们将立即通知病源计算机用户,并强行关掉该计算机的网络上联口,直至整改完毕方可接入Internet。
3. 鉴于此病毒对校园网影响较大,请用户下载“AntiArpSniffer
未中毒而只是被攻击的电脑,防护办法如下:在本机安装运行AntiArpSniffer3,在“网关地址”中输入本机的默认网关地址(各网段的网关地址不一样,具体查看网关地址的方法参见附图2),然后点击“枚取MAC”按钮,再点击“自动防护”即可。
另外请注意,对于西校区等需要认证的网络,该软件在运行后可能造成客户端无法正常登陆,因此需要先在登陆成功后再运行该软件。由于此病毒只感染同一个网段的电脑,因此,如果用户所在的网段没有电脑感染arp病毒,即用户上网正常,没有如上的症状,就不需要安装此软件进行防护。
希望校园网各用户注意查杀病毒,如果你所在的网段出现以上情况,在使用AntiArpSniffer3过程中如果追查到中毒电脑,请及时上报学院信息网络中心。
校园网是公共服务设施,保障网络安全不仅是信息网络中心的工作,更是每位网络用户应尽的义务。只有依靠大家群策群力、群防群治,网络才能长治久安。
附图1:AntiArpSniffer3的正确配置示意
附图2:查看本机网关地址的方法
附图2说明:windows2000和 xp的机器,点击电脑左下角的“开始”,选择“运行”,然后输入:cmd 点击确定,在出现的dos窗口中输入:ipconfig /all然后回车,在出现的项目中找到Default Gateway 对应的地址即是。
现代教育技术中心 网络技术部
二oo七年五月三十一日
书记信箱:sjxx@jsviat.edu.cn
院长信箱:yzxx@jsviat.edu.cn【微信】
【微博】
【校报】
地址:江苏省徐州市泉山区学苑路26号
|邮编:221116
|招生电话:0516-83888688/83889021
|版权所有:乐动平台-(中国)科技公司官网
| |