一、判断本机是否受到ARP欺骗攻击

　　当用户计算机出现以下现象时，可能已经受到网内其他已中“ARP欺骗”病毒计算机的攻击。

　　1、 用户频繁断网、上网时感觉网络经常掉线，重新开机或修复本地连接（或先停用再启用）后网络恢复正常但几分钟后网络再次中断。

　　2、 IE 浏览器在使用过程中频繁出错或自动关闭网页。

　　3、 一些常用软件经常出现故障或非正常自动关闭。

　　二、判断本机是否感染该病毒

　　目前，已知传奇游戏的“传奇 2 冰橙子 1.14 ”和“及时雨 PK 破解版”两种外挂存在这种木马病毒。中毒的机器会运行一个名为“MIR0.dat”的进程，用户可通过察看任务管理器中的进程信息来判断本机是否感染该病毒。同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。如果有“MIR0.dat”，则说明已经中毒。右键点击此进程后选择“结束进程”。参见图一。

　　注意：这只是中毒后的一个症状，可能还会有其他变种，请用户一定要升级杀毒软件的病毒库后，再全面查杀病毒。
　　　　　　　　　　　　　　　　　　　　　 　

　　　　　　　　　　　　　 图一

　　三、网络用户解决方法

　　1、 针对感染该病毒的计算机的解决方法

　　及时定期更新计算机的操作系统补丁，安装杀毒软件并按时升级病毒库。目前市面上常见的杀毒软件只要及时更新病毒库以及及时升级系统补丁，基本都可以防御该病毒感染。该病毒特性，会造成同一网段的其他计算机均无法正常使用网络。用户需要自觉的对自己所使用计算机的软硬件故障，漏洞，病毒等问题做好及时防范工作。

　　ARP病毒专杀工具ARP_TSC下载 http://www.gansusalt.com/ARP_TSC.rar

　　2、针对未感染病毒，而受到影响的计算机解决方法：
　　
　　避免类似网络安全问题的根本解决办法是定期更新操作系统和安装防病毒软件。系统未及时更新的用户请下载系统补丁。

　　建议用户下载Anti ARP Sniffer软件保护本地计算机正常运行。Antiarp.exe下载地址：http://www.gansusalt.com/AntiArp.rar


　　或下载　ARPClient　软件保护本地计算机正常运行。ARPClient.exe下载地址
：http://www.gansusalt.com/ARPClient.rar

　　

　　附:Anti Arp Sniffer 的使用方法

　　
　　双击Anti Arp图标，出现图二所示对话框。



　　　　　　　　　　　　　　　　　　　　　　　　图二

　　输入网关地址，(点击“开始”->“运行”，在窗口中输入“cmd”,点“确定”，调出“命令提示符”。输入并执行以下命令：ipconfig /all网关 IP 地址，即“ Default Gateway ”对应的值。)


　　点击获取网关MAC地址，点击“自动防护”保证当前网卡与网关的通信不被第三方监听。




　　特别提示：由于该病毒影响了一个网段内用户的正常上网，一旦查到病毒机器，信息中心将停用该机器的上联交换机端口（直到机器病毒被清除），以保证该网段内其他机器正常上网。

　　以下操作过程中如有问题，请及时与信息中心取得联系。

　　联系电话：0931-8841039

　　ＱＱ：344569012

　　Ｅ－ＭＡＩＬ:001@gansusalt.com











　　　　　　　　　　　　　　　　　　　　　　中盐甘肃省盐业集团信息中心
　　　　　　　　　　　　　　　　　　　　　　　二○○六年十一月八日