联系站长 加入收藏 设为首页 繁體中文 RSS
  首页 | 生活百科 | 电脑网络 | 高手学堂 | 语录名言 | 读书文学 | 极品软件 | 奇趣图片 | 站长微博  
 您的位置: 精品百字节网 >> 电脑网络 >> 网络安全 >> 病毒木马 >> 正文 当前没有通告!
   □  防范ARP欺骗木马程序(病毒)攻击    4星级
防范ARP欺骗木马程序(病毒)攻击
[ 作者:作者不详     来源:互连网     点击数:     更新时间:2007-06-01     文章录入:Admin
【字体:
[内容提要]
该病毒原理: 当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和交换机,让所有上网的流量必须经过病毒主机。其他客户原来直接通过交换机上网现在转由通过病毒主机上网,切换的时候客户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,客户会感觉上网速度越来越慢,部分游戏客户的玩家大规模掉线。当ARP欺骗的木马程序停止运行时,客户会恢复从交换机上网(此时交换机MAC地址表正常),切换过程中客户会再断一次线。该病毒发作时,仅影响同网段内机器的正常上网。
该病毒原理: 当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和交换机,让所有上网的流量必须经过病毒主机。其他客户原来直接通过交换机上网现在转由通过病毒主机上网,切换的时候客户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,客户会感觉上网速度越来越慢,部分游戏客户的玩家大规模掉线。当ARP欺骗的木马程序停止运行时,客户会恢复从交换机上网(此时交换机MAC地址表正常),切换过程中客户会再断一次线。该病毒发作时,仅影响同网段内机器的正常上网。

   为此,特提醒我中心客户务必采取以下措施。

  一、我中心客户要增强网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件;不要随便共享文件和文件夹,即使要共享,也得设置好权限,一般指定特定帐号或特定机器才能访问,另外不建议设置可写或可控制,以免个人计算机受到木马病毒的侵入给我中心的安全带来隐患。

  二、我中心计算机客户要及时下载和更新操作系统的补丁程序,安装正版的杀毒软件,增强个人计算机防御计算机病毒的能力。

  三、客户检查和处理“ARP欺骗”木马的方法。检查本机的“ARP欺骗”木马染毒进程,同时按住键盘上的“CTRL”和“ALT”键再按“DEL”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“MIR0.dat”之类的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。

  在受到ARP欺骗木马程序(病毒)攻击时,客户可选择下列方法的一种处理。

  方法一:下载ARP防火墙软件保护本地计算机正常运行。同时把此软件设为自动启动,步骤:先把Antiarp.exe生成桌面快捷方式->选"开始"->"程序"->双击"启动"->再把桌面上Antiarp.exe快捷键拷到"启动"中,以保证下次开机自动运行,起到保护的作用。软件内有操作文档。

  方法二:在“开始”-“运行”-“附件”菜单下调出“命令提示符”。输入并执行以下命令:ipconfig

  记录网关IP地址,即“Default Gateway”对应的值,例如“221.192.133.254”。再输入并执行以下命令:

  arp–a

  在“Internet Address”下找到上步记录的网关IP地址,记录其对应的物理地址,即“Physical Address”值,例如“00-01-e8-1f-35-54”。在网络正常时这就是网关的正确物理地址,在网络受“ARP欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP地址,然后再查ARP表。如果有一个IP对应的物理地址与网关的相同,那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关IP地址和网关物理地址,然后编写一个批处理文件rarp.bat内容如下:

    @echo off

    arp–d

    arp -s 192.168.16.254 00-22-aa-00-22-aa

  将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows开始->程序->启动”中。

  不同网段的rarp.bat文件已编写并放在附件中,各网段客户只需将本网段的。Bat文件放在“windows开始->程序->启动”中即可。

  方法三:局域网ARP攻击免疫器。(1)将这里面3个dll文件复制到windows\system32里面,将npf这个文件复制到windows\system32\drivers里面。(2)将这4个文件在安全属性里改成只读。也就是不允许任何人修改,使用方法详见压缩包内使用说明。

  方法四:使用《趋势arp病毒专杀工具》定期对本机进行ARP病毒查杀,使用方法详见压缩包内使用说明。

  四、以下程序带有此类ARP病毒(传奇杀手等),请不要使用:

  传奇2冰橙子1.44版

  QQ第六感

  P2P终结者

  传奇2及时雨PK版

  "网吧传奇杀手"的木马软件进行传奇帐号和密码的扫描

  网络执法官等类似程序

  五、对我中心客户的建议:

  避免类似网络安全问题的根本解决办法是定期更新操作系统。系统未及时更新的客户请下载系统补丁。

  立即安装或更新正版防病毒软件并对内存和硬盘全面扫描。

  立即修改操作系统和网络应用软件的各种帐号的密码。请我中心客户务必对所使用的操作系统设置6位以上的密码!

  立即更新操作系统,打上各种漏洞补丁。

  不要随便共享文件或文件夹,即使要使用共享,应先设置好权限,一般指定帐号或特定机器才能访问,另外不建议设置可写或可控制。

  不要随便打开不明来历的电子邮件,尤其是邮件附件。

  不要随便登陆不明网站,特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。对进行网上交易要特别慎重!

  使用移动存储介质进行数据访问时,先对其进行病毒检查。

  做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。

附件:

  ARP防火墙单机版v4.1.1

  局域网ARP攻击免疫器

  趋势arp病毒专杀工具

上一篇文章:求MSRundll.exe的清除方法 症状自动弹出广告 下一篇文章:如何根据名称识别计算机病毒
发表评论 □告诉好友 □打印此文 □收藏此页 □关闭窗口 □返回顶部
 最新热点文章
 精品医院类网站网址大收集
 如何删除windows 2003或xp系统隐藏的...
 DedeCms管理员后台登陆经常自动退出的...
 知道IP如何用dos命令查出电脑名称
 WORD出错老是要求以安全模式打开文件...
 如何设置首页不显示页眉页脚?
 如何利用inurl命令查询网站外链及栏目...
 
 最新推荐文章
 精品医院类网站网址大收集
 如何利用宽带路由器控制局域网内电脑上...
 CSS圆角代码的实现方法
 带停顿的单行文字滚动代码
 实用的新网站免费收录提交地址精选
 Left join , Right Join, Inner Join用...
 趣话淘宝网衍生的多种新型职业
 
 最新图文
  ◇  网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!)
关于本站 | 免责申明 | 网站地图 | 联系站长 | 友情链接 | 与我同在
冀ICP备06032589号【虚拟化精英群虚拟化精英群续
  Copyright© 2006-2009 100byte.Com All Rights Reserved
网站声明:本网站是公益性质网站,部分内容来源于网络,如有侵犯您权利的地方,请与精品百字节站长联系,尽快修正.
Powered By CreateLive CMS 本站法律顾问:(冀港)武镇海律师
点击这里给我发消息