江西赣州三中赖金霖:怎么对付arp欺骗?

来源:百度文库 编辑:神马品牌网 时间:2024/03/29 06:56:11
最近局域网里发现了ARP攻击,有几台服务器和客户端不断冒用IP地址,不停向网络广播,害的上网掉线或IP地址冲突.我用最新的瑞星杀毒软件根本找不到病毒,用专杀工具也无效,虽然在网上能找到绑定IP和MAC地址的方法,但是太麻烦了,不能根本解决问题,请问高手如何杀掉这种病毒,不胜感激.
我在系统进程里没找到MIR0.dat,而且用木马克星最新版、瑞星、金山、诺顿等等都不找不到病毒,但是ARP欺骗依然存在。瑞星公司的工程师恐怕都没办法,我已经等他们消息了,到现在都没分析出个结果来,看来很假牙。官方无能,只有求助民间高手了。

网上流传很多防ARP木马的方法,比如绑定IP了什么的,这样很费事,几百台、上千台都一个个绑定?
只有杀掉木马才是根本!!!
据说目前只有卡巴司基和瑞星能杀这个木马;
我这里有手工杀法!!
试过绝对简单有效!
1)首先须判断哪个机子中了木马
下载AntiArp软件(http://www.gsrtvu.cn/jszx/UploadSoft/AntiArp.rar),这个软件既可以绑定本机IP,又可以发现局域网里哪台机子中毒了!(气泡提示既是)
2)使用AntiArp方法:
本机的网关地址获取的具体方法是:点开始->点运行->输入cmd 回车进入dos窗口->输入ipconfig /all 回车,Physical Address即本机的物理地址(本机网关地址)。
3)找到局域网的这台中毒机子,进入安全模式手工杀吧!
4) 该木马一共有三个文件,分别是:
C:\WINNT\System32\LOADHW.EXE ,C:\WINNT\System32\msitinit.dll ,
C:\WINNT\System32\drivers\npf.sys。
点开始里的搜索查找Loadhw.exe,Msitinit.dll,Npf.sys文件,找到了就删除。
5)运行>regedit,查找注册表的loadhw.exe,Msitinit.dll,Npf.sys找到了就删除。OK了!

6)木马病毒说明如下:
LOADHW.EXE是一个安装文件,在会把自己注册在: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
如果它被删除掉,并不影响木马的运行,只是在开机时会报该文件不存在。
msitinit.dll是常驻内存的,但注册表中并没有记录它(很狡猾)。
npf.sys注册为一个服务程序,且在“控制面板->管理工具->服务”中看不到,要在注册表中才能看到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf

近期,一种新的“ARP欺骗”木马病毒在互联网上扩散,我校校内也已发现数台机器感染此病毒,中毒用户会出现频繁断网的现象并导致其所属整个网段故障。请校园网用户及时更新病毒库和安装系统补丁,提高防范措施。 有经验的用户和网络管理员也可以通过检查系统进程表和 ARP 表进行感染判断和处理,具体过程和方法见附录。

避免类似网络安全问题的根本解决办法是定期更新操作系统和安装防病毒软件。保证计算机系统安全的意义不仅仅在于对个人隐私和信息资料的保护,更重要的是不对网络和他人权益构成损害。

为了保证大多数用户的上网质量,自本通知发出之日起,将对感染病毒并对其他用户造成影响的网络端口和网络账号进行隔离处理,时间为 3-5 天。

*部分用户反映开机后会出现空白记事本程序,该问题是中了USBSpy蠕虫病毒,此病毒通过USB存储设备(U盘、MP3等)大面积传染,请用户尽快升级防病毒软件,进行查杀。

附录:
1 .检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
2 .检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 59.66.36.1 ”。再输入并执行以下命令:
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
Internet Address Physical Address Type
218.194.XX.189 000e.a654.0bab dynamic
218.194.XX.131 000e.a654.0bab dynamic
218.194.XX.133 000e.a654.0bab dynamic
218.194.XX.132 000e.a654.0bab dynamic
218.194.XX.139 000e.a654.0bab dynamic
218.194.XX.136 000e.a654.0bab dynamic
218.194.XX.143 000e.a654.0bab dynamic
218.194.XX.142 000e.a654.0bab dynamic

也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。

http://www.onlinedown.net/soft/2985.htm
木马克星iparmor 5.50 简体版
http://oildfish.cnyys.net/bbs/
注册后
http://oildfish.cnyys.net/bbs/dispbbs.asp?boardID=27&ID=660&page=1
里面有升级破解!!!

金山毒霸破解第三版
http://down.fzqk.com/spbbs/duba3.rar

如果你觉得单机绑定麻烦的话,只能在路由绑定IP和MAC是最好的方法了!!,用杀毒软件只能杀你本机的,杀不了局域网的其它电脑!