最近电脑病毒在校园网中大规模爆发,造成个别网段时断时通的现象,网络中心工作人员经过仔细排查,确认这些病毒为.ARP欺骗病毒、网络执行官、网络特工、ARPKILLER等木马病毒。表现为集体掉线、部分掉线、单机掉线、游戏帐号、QQ帐号、银行卡等帐号和密码被盗。一个网段中只要有一台主机感染这类病毒,可以造成整个网段的机器通信异常。由于中毒主机本身发送大量的数据报文造成拥塞以及自身处理能力的限制,其他用户上网就会表现出频繁中断的现象。为了校园网能正常运行,请所有用户务必安装有效的杀毒软件、及时将防病毒软件升级,并对自己电脑进行查杀病毒。如果发现某电脑中了病毒,网络中心会将此用户网络端口断掉,被断用户必须凭相关证件至网络中心重新开通端口。关于此病毒具体说明如下:
病毒名称:木马程序(如ARP欺骗类病毒、PWSteal或其变种)
病毒类型:木马程序/蠕虫病毒
病毒长度:随机的/未知
受影响的系统:Windows 95/98/Me/NT/2000/XP/2003
病毒定义:
ARP欺骗型病毒,是一种“木马”病毒的变种,这种病毒通过发送虚假的ARP报文,将自身的MAC地址与同网段的其他IP地址进行伪造对应,使得被冲击的IP地址无法正常使用,如果冲击的IP地址是网关地址的话,同网段的所有对外通讯将无法进行。
病毒发作现象:
造成冲击后会形成三种故障现象:
1、在DHCP为基础的IP网络内,中毒机器会穷举DHCP POOL内的地址,直到POOL内资源枯竭为止,造成正常PC无法获得IP地址,无法通讯;
2、在指定IP地址网络内,中毒机器会随意冲击同网段内地址,造成在用IP无法正常使用,造成通讯中断;
3、中毒机器会直接冲击网关,使得同网段的所有PC对外访问出现无规律性中断,同时交换机设备上会出现大量地址冲突的SYSLOG记录。
查杀方法一:
1、下载安装(ARP)TSC专杀工具
2、下载安装Antiarp防御工具
查杀方法二: 目前网络信息中心提供的趋势防病毒程序(http://trend.hzau.edu.cn/officescan/clientinstall/)可以对这类病毒起到较好的防护作用,请没有安装的防病毒程序的用户下载安装。另外,国内的瑞星(RISING)和俄罗斯的卡巴斯基(kaspersky)对目前这种以“传奇杀手”病毒为代表的ARP欺骗类病毒具有交好的安全防范能力。
备注说明:在确认病毒点的前提下使用杀毒软件进行查杀处理,如果所使用的杀毒软件无法查杀,那使用其他的杀毒软件进行查毒,并将感染病毒的文件以口令方式压缩,发送给相应的病毒软件服务商,让其根据所提交的病毒样本更新病毒库,加强防病毒软件的防毒能力。
安全建议:
1、给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)
2、给系统管理员帐户设置足够复杂的强密码,最好能是12位以上,字母+数字+符号的组合;也可以禁用/删除一些不使用的帐户
3、经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
4、关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务
5、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
网络中心
2006-11-7
