arp欺骗类型病毒处理方法及流程.docx

《arp欺骗类型病毒处理方法及流程.docx》由会员分享，可在线阅读，更多相关《arp欺骗类型病毒处理方法及流程.docx（3页珍藏版）》请在第一文库网上搜索。

1、ARP欺骗类型病毒处理方法及流程最近公司网络网络变满或者出现时断时续的情况经查明为多为ARP欺骗病毒：一、故障原因：ARP欺骗类型病毒感染方式较多，此病毒全称为PWsteal.lemir.gen的一种木马，此类型病毒主要针对传奇，魔兽世界，QQ等程序。此木马存在多个变种，病毒名称只是通称，并且每个变种导致的现象都不一样。为此，查询了此病毒的多个变种的危害，发现其中一个变种会在局域网中进行ARP欺骗，其发作从而导致对局域网的连通性（时断时续）照成重大影响。二病毒原理：当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和交换机，让所有上网的流量必须经过病毒主机。其他用户原来直接通

2、过交换机上网现在转由通过病毒主机上网，由交换机切换到病毒主机的时候用户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复通过交换机上网（此时交换机MAC地址表正常），切换过程2 .接到客户端的广播请求后，冒充网关进行回应MAC地址，但是此MAC地址为伪造3 .客户端获得网关的MAC地址，试图进行通讯，但是此MAC为伪造，导致通讯失败4 .客户端无法上网四、1 .首先找到ARP欺骗病毒发作的网络，在3层交换机上察看arp表，如果能够发现很多ip被同一 mac占用，基本

3、可以肯定就是这个maco另外arp传播能力并不强，基本上杀一个少一个，也可以在交换机上监听看看到底哪个地址在不停的发arp的包，确定了这个地址就是病毒源。2 .找到网络中感染ARP病毒的机器后，使用杀毒软件（升级最新病毒库）或专杀工具查杀。五、 WIN2K对于此病毒解决办法:1 .此病毒文件名为KB5786825.LOQ将自己存放在WINNT目录下，看上去类似windows安装补丁之后产生的LOG文件，事实上此病毒为dll文件,只不过被修改了后缀，并采用注入到其他程序运行而达到隐蔽自己的目的，并且在每次开机通过注册表键值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi

4、ndowsNTCurrentVersionWindowsApplnit_DLLs 来加载自己，达到每次开机即运行的目的2 .目前防病毒软件的病毒定义码已经可以识别此病毒，但是由于是DLL文件，所以可能无法清除，可以采用以下的手动清除方法3 .册 IJ除 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindowsAppInit_DLLs 的内容，注意是删除内容，不是删除此键值4 .重新启动计算机5 .访问WINNT目录，手动删除KB5786825.LOG文件六、防范措施：1 .在防火墙上作策略，将查出ARP欺骗包丢弃掉。2 .采用双向绑定的方法解决并且防止ARP欺骗。3 .首先确定网络上安全网关的IP和MAC地址，然后可以在每台客户端机器的ARP缓存表中将安全网关的IP和MAC绑定；也可以将安全网关的IP和MAC地址绑定写成一个批处理文件，放在域中或客户端的自启动项中。七、总结：由于此次发现的病毒名称为一个病毒系列的通称，从病毒名称不能立刻查询到病毒发作现象，所以只能推断属于此变种，此类病毒一般通过网络下载或者EMAIL及IM软件附件传播，建议以后加强这方面的管理，同时及时升级防病毒软件的版本。