打印

ARP攻击防范措施

shenbushou

临时用户组

社区积分: 0
技术积分: 7

大中小 1楼

2008-5-27 18:32 只看该作者

ARP攻击防范措施

ARP特征：
该病毒变种有局域网“杀手”之称，除具备以往ARP病毒发作的特征，诸如：局域网内部分计算机不能正常上网，或是所有计算机均不能上网，还有无法打开 Web网页或打开Web 网页速度较慢以及局域网连接时断时续并且网速较慢等现象以外，它还会向局域网内发送伪造的ARP欺骗广播，并将受感染的计算机系统伪装成局域网网关，当局域网中的计算机系统发出访问Web网页请求的时候，伪装成网关的计算机系统会把Web网页下载下来并在其中添加一段恶意地址代码一并发送给发出请求的计算机，造成该计算机系统访问Web网站时会主动连接该恶意网址。并且会导致局域网内任意电脑访问网页时，打开的网页都被杀毒软件报告带毒，同时该带毒网页会通过微软的MS06-014和MS07-017两个系统漏洞给电脑植入一个木马下载器，而该木马下载器会下载10多个恶性网游木马，可以盗多款网络账号及密码。
防范措施：
1、立即升级操作系统中的防病毒软件和防火墙，同时打开“实时监控”功能，实时地拦截来自局域网络上的各种ARP病毒变种。
2、立即根据自己的操作系统版本下载微软MS06-014（http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx）和MS07-017（http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx）两个系统漏洞补丁程序，将补丁程序安装到局域网络中存在这两个漏洞的计算机系统中，防止病毒变种的感染和传播。
3、检查是否已经中毒：
a. 在设备管理器中, 单击“查看—显示隐藏的设备”
b. 在设备树结构中,打开“非即插即用设备”
c. 查找是否存在：“NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”，如果存在，就表明已经中毒。
4、对没有中毒机器，可以下载软件Anti ARP Sniffer，填入网关，启用自动防护，保护自己的ip地址以及网关地址，保证正常上网。
5、对已经中毒电脑可以用以下方法手动清除病毒：
(1)删除:%windows%\System32\LOADHW.EXE (有些电脑可能没有)
(2)a. 在设备管理器中, 单击“查看—显示隐藏的设备”
b. 在设备树结构中,打开“非即插即用设备”
c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”
d. 右点击，”卸载”
e. 重启系统
(3)删除:%windows%\System32\drivers\npf.sys
(4)删除%windows%\System32\msitinit.dll(有些电脑可能没有)
(5)删除注册表服务项:开始〉运行〉regedit〉打开，进入注册表，全注册表搜索npf.sys，把文件所在文件夹Npf整个删除.(应该有2个).至此arp病毒清除.
(6)根据经验,该病毒会下载大量病毒,木马及恶意软件,并修改winsocks,导致不能打开网页,不能打开netmeeting等,为此还需要做下面几步工作:
a.用清理助手,360等软件清理恶意软件,木马.
b.检查并删除下列文件并相关启动项:
1)%windows%\System32\nwizwmgjs.exe(一般***�)
2)%windows%\System32\nwizwmgjs.dll(一般***�)
3)%windows%\System32\ravzt.exe(一般***�)
4)%windows%\System32\ravzt.dat
3)%windows%\System32\googleon.exe
c.重置winsocks(可以用兔子等软件修复,下面介绍一个比较简单的办法):
开始>运行>CMD,进入命令提示符,输入cd..回车,一直退出至c盘根目录,在C:>下输入netsh winsock reset回车,然后按提示重启计算机