文章详情
您所在位置:首页 > 网络中心 > 关于防范校园网ARP欺骗、冲击波和震荡波等病毒的公告

关于防范校园网ARP欺骗、冲击波和震荡波等病毒的公告

2006-12-06来源: http://see.xidian.edu.cn浏览次数:

ARP病毒
  近期国内很多单位的局域网爆发ARP病毒,具体表现为局域网内一些正在上网的电脑主机频繁掉线或是断线。现我校也开始发现某些宿舍楼校园网用户出现掉线的故障,经调查发现,该故障应该是ARP病毒所致。 
一、故障原因及现象 
  局域网内有电脑使用ARP欺骗程序(比如:传奇、QQ盗号的软件等)发送ARP数据包,致使被攻击的电脑不能上网。 
  当局域网内某台电脑A向电脑B发送ARP欺骗数据包时,会欺骗电脑B将其通信的数据发向电脑A,电脑A通过对截获的数据进行分析,达到窃取数据(如用户账号)的目的。 
  被ARP欺骗的电脑会出现突然不能上网,重新连接后又能上网,但过会还是掉线的反复现象。 
二、故障诊断 
  如果用户发现突然不能上网,可以通过如下操作进行诊断: 
  点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。 
  “arp -d”命令能清除本机的arp表,arp表被清除后接着系统会自动重建新的arp表,“arp -d”命令并不能抵御ARP欺骗,执行“arp -d”命令后仍有可能再次遭受ARP攻击。 
三、故障处理 
  1. 杀毒。
  (1)诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒,注意:查杀病毒只能避免电脑主机成为ARP攻击方,并不能抵御ARP攻击。 
  (2)ARP病毒专杀工具下载

  下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。
  2. 使用AntiArp软件抵御ARP攻击。 (下载AntiArp软件)
  先查明本机的网关IP地址,可通过以下操作获取:点击“开始”按钮->选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车,“Default ateway”后的IP地址就是网关地址。    
  运行AntiArp,在管理右栏那“网关地址”里填入刚才查到的IP地址,然后点击“获取MAC”,检查网关IP地址和MAC地址无误后,点击“自动保护”。 
  3. 除用AntiArp软件外,也可以用arp命令抵御ARP攻击: 
  先打开命令提示符窗口(方法如上),然后用“arp –a”命令查出默认网关和mac地址 
  运行arp –a 命令后会得出类似如下列表 
  Internet Address Physical Address Type 
  222.200.112.1 00-e0-fc-22-ab-c2 dynamic 
  其中Internet Address就是默认网关,Physical Address就是mac地址 
  然后就用“arp -s 默认网关 mac地址”进行绑定 
  例如: arp –s 222.200.112.1 00-e0-fc-22-ab-c2 
  不过因为这重启机后是不起作用的,如需开机就自行绑定arp,则需利用bat处理文件 
  该bat文件写法如下: 
  @echo off 
  arp -d 
  arp -s 网关IP地址 网关MAC地址 
  然后再将该bat文件加入“启动”项,系统启动后会自动执行arp命令绑定网关。
 
冲击波,震荡波病毒
一、 故障原因及现象
由于微软的RPC漏洞造成。
二、故障诊断
通常为系统进程svchost.exe(冲击波),lsass.exe(震荡波)占用率高至90%以上。
“冲击波”病毒感染个人电脑之后,电脑中Word、Excel、Powerpoint等文件无法正常运行,弹出“找不到链接文件”的对话框,复制、粘贴等一些功能无法正常使用。更严重的是,电脑出现反复重新启动等现象。重起之后,它们开始扫描互联网,寻找有安全漏洞的电脑系统进行感染。一旦攻击成功,病毒体将会被传送到对方电脑中进行感染,使对方系统操作异常、不停重新启动,甚至导致系统崩溃。这个蠕虫还添加一个注册密钥,保证系统下一次启动时蠕虫程序能够再次运行。更过分的是,感染病毒的电脑无法访问微软、瑞星等针对该病毒措施的网页。



震荡波 
染毒计算机的主要症状为: 
(1)进程中出现 avserve.exe 和 *****_up.exe,占用大量资源; 
其中*****为从0~65535之间的随机数字 
(2)出现LSA Shell错误; 
(3)导致系统进程lsass.exe错误,并进而导致计算机强迫重启; 
(4)有网友反馈计算机的管理员权限帐户口令被修改(未证实)。 



二、 处理方法
注:处理前先打上微软的相关补丁,方法一:通过Windows Update,此方法适用于通过微软正版认证的操作系统。方法二:下载相应的补丁或更换系统序列号后update,VLK版windows XP可在西电网管会(http://sns.xidian.edu.cn)找到相应的序列号及替换器。
附:
冲击波补丁:安装微软的安全更新 KB833330(适用于XP Service Pack1,XP Service Pack2不需要)
震荡波补丁:安装微软的安全更新 KB837001,KB828741,KB835732(同上)



(1) 升级杀毒软件,对系统进行全面杀毒。
(2) 使用专杀工具进行查杀,可在瑞星(http://www.rising.com.cn)或金山(http://www.kingsoft.com/)查找相应的杀毒软件,或在西电网管会(http://sns.xidian.edu.cn)下载。



请Windows XP SP1及SP1以下的用户尽量升级到XP SP2,并打开Windows Update,以获取最新的Windows 补丁。Windows SP2补丁可在西电网管会(http://sns

  • 上一篇文章:ARP欺骗病毒检测和专杀工具下载
  • 下一篇文章:周二(12月12日)晚6点对电院网络系统进行维护-暂停服务
  • 返回顶部