近期比较盛行“ARP欺骗类”木马病毒,病毒发作会导致同一个子网中的计算机经常自动断网(无法ping通网关),上网断断续续。
一、查杀病毒
已经感染ARP类木马病毒的用户,下载360安全卫士/趋势SysClean工具或其他杀毒软件进行清除病毒木马。
1、360安全卫士下载地址 http://www.360safe.com/
查杀功能:查杀恶意软件、卸载多余插件等……
修复:修复IE浏览器、修复系统漏洞(将自动扫描未安装的系统补丁,推荐使用该功能安装系统补丁)
具体使用方法大家请看官方网站
2、趋势SysClean下载地址
http://antivirus.seu.edu.cn/soft/sysclean.exe

二、解决方法

1、临时处理对策:
  1)arp –d命令
在能上网时,点出 [开始]菜单 - 选[运行] ,输入 "cmd" 并确定调出"命令提示符"窗口,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。
    注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。

    2)手工绑定ARP
如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC

    例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp –a后输出如下:
     =====================================================
注:网关的获取方法:
点出 [开始]菜单 - 选[运行] ,输入 "command" 并确定调出"命令提示符"窗口
      输入以下命令并按回车键:
      C:/>ipconfig
      记录网关 IP 地址,即 "Default Gateway" 对应的值,例如 "192.168.0.254" 。
      屏幕输出例子:
            其中:  红色部分表示用户自己的IP地址
                    蓝色部分表示子网掩码
                    棕色部分表示网关地址

Windows IP Configuration 
 
       Ethernet adapter Broadcom: 
 
        Connection-specific DNS Suffix  . : 
 
        IP Address. . . . . . . . . . . .   : 192.168.0.1 
 
        Subnet Mask . . . . . . . . . . . : 255.255.255.0 
 
        Default Gateway . . . . . . . . . : 192.168.0.254 
 
       ------------------------------------- 
 

===================================================== 
 
C:/Documents and Settings>arp -a 
 
Interface: 218.197.192.1 --- 0x2 
 
Internet Address Physical Address Type 
 
218.197.192.254 00-01-02-03-04-05 dynamic



其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。

手工绑定的命令为:
arp –s 218.197.192.254 00-01-02-03-04-05
’注释:  (你的网关IP)     (正常上网时arp –a 看到的网关IP)
绑定完,可再用arp –a查看arp缓存,

C:/Documents and Settings>arp -a 
 
Interface: 218.197.192.1 --- 0x2 
 
Internet Address Physical Address Type 
 
218.197.192.254 00-01-02-03-04-05 static



这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。找出病毒计算机的方法:
=======================================================   
另:可以编写一个批处理文件arp.bat
操作方法:
打开一个记事本,输入如下内容:

@echo off 
 
  arp -d 
 
  arp –s 218.197.192.254 00-01-02-03-04-05


   

‘             (你的网关IP)     (正常上网时arp –a 看到的网关IP)  ---此行不要输入,只是注释用
另存为:arp.bat 文件类型选"所有文件"
将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。
将这个批处理软件拖到“window->开始->程序->启动”中。
===================================================
2、使用防ARP欺骗软件antiarp(推荐)
Anti ARP Sniffer V3.5 免费版:下载地址: http://www.antiarp.com/download.html