ARP病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称。ARP协议是TCP/IP协议组的一个协议,能够把网络地址翻译成物理地址(又称MAC地址)。
arp 病毒并不是某一种病毒的名称,而是对利用 arp 协议的漏洞进行传播的一类病毒的总称。arp 协议是 TCP/IP 协议组的一个协议,能够把网络地址翻译成物理地址(又称 MAC 地址)。通常此类攻击的手段有两种:路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。
故障原因及现象
原因
主要原因是在局域网中有人使用了 ARP 欺骗的木马程序,比如一些盗号的软件。
现象
当局域网内有某台电脑运行了此类 ARP 欺骗的木马的时候,其他用户原来直接通过路由器上网转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于 ARP 欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。
该机一开机上网就不断发 Arp 欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送 Arp 报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线,则其它机器又要重新搜索真网关,于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器,就会使其他人上网断断续续,严重时将使整个网络瘫痪。这种病毒(木马)除了影响他人上网外,也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码为目的,而且它发的是 Arp 报文,具有一定的隐秘性,如果占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。
经抽样测试,学校提供的赛门铁克防病毒软件企业版 10.0 能有效查杀已知的 Arp 欺骗病毒(木马)病毒。恶意软件由于国际上未有明确界定,暂无一款防病毒软件能提供 100%杜绝其发作的解决方案,需要借助某些辅助工具进行清理。
解决思路
不要把你的网络安全信任关系建立在 IP 基础上或 MAC 基础上。
设置静态的 MAC–>IP 对应表,不要让主机刷新你设定好的转换表。
除非必要,否则停止 ARP 使用,把 ARP 做为永久条目保存在对应表中。
使用 ARP 服务器。确保这台 ARP 服务器不被黑。
使用”proxy”代理 IP 传输。
使用硬件屏蔽主机。
定期用响应的 IP 包中获得一个 rarp 请求,检查 ARP 响应的真实性。
定期轮询,检查主机上的 ARP 缓存。
使用防火墙连续监控网络。
解决方案
一般出现局域网
网吧用户一般可以用 ROS 路由进行绑定,在主机上安装上 ARP 防火墙服务端,客户机安装客户端,双相绑定比较安全。
软件百度搜索下
推荐软件:http://wwwantiarpcom/down.asp?ArticleID=81
市面上有众多的 ARP 防火墙推荐使用 360
建议采用双向绑定解决和防止 ARP 欺骗。在电脑上绑定路由器的 IP 和 MAC 地址
首先,获得路由器的内网的 MAC 地址(例如 HiPER 网关地址 192.168.16.254 的 MAC 地址为 0022aa0022aa 局域网端口 MAC 地址>)。
编写一个批处理文件 rarp.bat 内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将网关 IP 和 MAC 更改为您自己的网关 IP 和 MAC 即可,让这个文件开机运行(拖到“开始-程序-启动”)。
自己手动清除病毒:
⒈立即升级操作系统中的防病毒软件和防火墙,同时打开“实时监控”功能,实时地拦截来自局域网络上的各种 ARP 病毒变种。
⒉立即根据自己的操作系统版本下载微软 MS06-014 和 MS07-017 两个系统漏洞补丁程序,将补丁程序安装到局域网络中存在这两个漏洞的计算机系统中,防止病毒变种的感染和传播。
⒊检查是否已经中毒:
a. 在设备管理器中,单击“查看—显示隐藏的设备”
b. 在设备树结构中,打开“非即插即用设备”
c. 查找是否存在:“NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”,如果存在,就表明已经中毒。
⒋对没有中毒机器,可以下载软件 Anti ARP Sniffer,填入网关,启用自动防护,保护自己的 ip 地址以及网关地址,保证正常上网。
⒌对已经中毒电脑可以用以下方法手动清除病毒:
⑴删除:%windows%System32LOADHW.EXE (有些电脑可能没有)
⑵a. 在设备管理器中,单击“查看—显示隐藏的设备”
b. 在设备树结构中,打开“非即插即用设备”
c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”
d. 右点击,”卸载”
e. 重启系统
⑶删除:%windows%System32driversnpf.sys
⑷删除%windows%System32msitinit.dll(有些电脑可能没有)
⑸删除注册表服务项:开始〉运行〉regedit〉打开,进入注册表,全注册表搜索 npf.sys,把文件所在文件夹 Npf 整个删除.(应该有 2 个).至此 arp 病毒清除.
⑹根据经验,该病毒会下载大量病毒,木马及恶意软件,并修改 winsocks,导致不能打开网页,不能打开 netmeeting 等,为此还需要做下面几步工作:
a.用杀毒软件清理恶意软件,木马.
b.检查并删除下列文件并相关启动项:
1)%windows%System32nwizwmgjs.exe(一般杀毒软件会隔离)
2)%windows%System32nwizwmgjs.dll(一般杀毒软件会隔离)
3)%windows%System32ravzt.exe(一般杀毒软件会隔离)
4)%windows%System32ravzt.dat
3)%windows%System32googleon.exe
c.重置 winsock(可以用软件修复,下面介绍一个比较简单的办法):
开始>;运行>CMD,进入命令提示符,输入 cd..回车,一直退出至 c 盘根目录,在 C:>;下输入 netsh winsock reset 回车,然后按提示重启计算机。
攻击现象
⒈网上银行、游戏及 QQ 账号的频繁丢失
一些人为了获取非法利益,利用 ARP 欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通 过截取局域网中的数据包,然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒,就可以获得整个局域网中上网用 户账号的详细信息并盗取。
⒉网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常
当局域内的某台计算机被 ARP 的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法 ARP 欺骗数据包, 阻塞网络通道,造成网络设备的承载过重,导致网络的通讯质量不稳定。
⒊局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常
当带有 ARP 欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线,出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉 线情况还会发生。
病毒原理
网络模型简介
众所周知,按照 OSI (Open Systems Interconnection Reference Model 开放系统互联参考模型) 的观点,可将网络系统划分为 7 层结构,每一个层次上运行着不同的协议和服务,并且上下层之间互相配合,完成网络数据交换的功能。
然而,OSI 的模型仅仅是一个参考模型,并不是实际网络中应用的模型。实际上应用最广泛的商用网络模型即 TCP/IP 体系模型,将网络划分为四层,每一个层次上也运行着不同的协议和服务。
电脑定位
命令行法
这种方法比较简便,不利用第三方工具,利用系统自带的 ARP 命令即可完成。上文已经说过,当局域网中发生 ARP 欺骗的时候,ARP 病毒电脑会向全网不停地发送 ARP 欺骗广播,这时局域网中的其它电脑就会动态更新自身的 ARP 缓存表,将网关的 MAC 地址记录成 ARP 病毒电脑的 MAC 地址,这时候我们只要在其它受影响的电脑中查询一下当前网关的 MAC 地址,就知道中毒电脑的 MAC 地址了,查询命令为 ARP -a,需要在 cmd 命令提示行下输入。输入后的返回信息如下:
Internet Address Physical Address Type
192.168.0.1 00-50-56-e6-49-56 dynamic
这时,由于这个电脑的 ARP 表是错误的记录,因此,该 MAC 地址不是真正网关的 MAC 地址,而是中毒电脑的 MAC 地址!这时,再根据网络正常时,全网的 IP—MAC 地址对照表,查找中毒电脑的 IP 地址就可以了。由此可见,在网络正常的时候,保存一个全网电脑的 IP—MAC 地址对照表是多么的重要。可以使用 nbtscan 工具扫描全网段的 IP 地址和 MAC 地址,保存下来,以备后用。
病毒查杀
较老类型的 ARP 病毒运行特征比较隐蔽,电脑中毒时并无明显异常现象,这类病毒运行时自身无进程,通过注入到 Explorer.exe 进程来实现隐藏自身。其注册表中的启动项也很特殊,并非常规的 Run 键值加载,也不是服务加载,而是通过注册表的 AppInit_DLLs 键值加载实现开机自启动的,这一点比较隐蔽,因为正常的系统 AppInit_DLLs 键值是空的。也正由于这个特点,利用 Autoruns 这个工具软件就可以快速扫描出病毒文件体。
ARP 病毒文件主体,该文件虽然扩展名为 log,看似很像是系统日志文件,但其实,它是一个不折不扣的病毒!除了 Log 形式的病毒文件,还有一些以 Bmp 作为扩展名的病毒文件,同样,这些病毒文件也不是图片文件,而是 EXE 格式的可执行文件,在同目录下还有同名的 dll 文件,这些都是病毒体。
%WinDir% KB*.log
或者
%WinDir% *.bmp
%WinDir%同名.dll
如何区别正常的 log 日志文件,bmp 图片文件和病毒文件呢?其实很简单,用记事本程序打开该文件,查看其文件头是否有“MZ”的标记即可,找到这些文件后,可以先清除注册表中的相关键值,然后重启系统到安全模式下,手动删除文件即可。
对于最近多发的,修改 WEB 请求页面的新型 ARP 病毒,则改变了病毒文件的表现形式,现对简单,利用系统进程查看和启动项查看注册表的 Run 键值,可以明显发现病毒的文件,另外,利用 KV 的未知病毒扫描程序进行检测,也是一个好办法。
预防措施:
1,及时升级客户端的操作系统和应用程式补丁;
2,安装和更新杀毒软件。
4,如果网络规模较少,尽量使用手动指定 IP 设置,而不是使用 DHCP 来分配 IP 地址。
5,如果交换机支持,在交换机上绑定 MAC 地址与 IP 地址。
病毒的认识
由于局域网在最初设计的时候没有考虑安全的问题,所以存在很多漏洞,arp 欺骗就是最常见的一种。
ARP 欺骗分为二种,一种是对路由器 ARP 表的欺骗;另一种是对内网 PC 的网关欺骗。第一种 ARP 欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网 MAC 地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的 MAC 地址,造成正常 PC 无法收到信息。
第二种 ARP 欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的 PC 向假网关发数据,而不是通过正常的路由器途径上网。在 PC 看来,就是上不了网了,“网络掉线了”。