关于近期校园网用户
频繁掉线情况及处理办法的通知
近期,很多用户特别是教学部门反映在使用校园网时会突然掉线,过一段时间后又会恢复正常,经分析发现该现象是arp欺骗木马病毒在作怪;其症状表现为计算机网络连接正常,却无法打开网页,该病毒发作时发出大量的数据包,导致校园网用户上网不稳定,极大地影响了校园网用户的正常使用,给整个校园网的安全带来严重的隐患。而且其他高校的校园网络也不同程度的受此影响,该病毒发作后在系统进程列表中会有mir0.dat这个进程存在,病毒发作时除了会导致同一局域网内的其他用户出现时断时续外,还会窃取用户密码(如
QQ 、网络游戏、网上银行以及其它脆弱系统帐号等),这是木马的惯用伎俩。在其他学校已经发现大量用户密码被窃取的情况。
为了保护您的计算机不受病毒感染或防止病毒利用您的计算机攻击他人,建议有条件的校园网用户端计算机要安装瑞星、金山毒霸等公司的正版防火墙及杀毒软件并及时进行升级和杀毒,其它用户可在校园网下载arp防火墙进行预防,以解决此类问题。
请用户及时安装杀毒软件(及时更新病毒库)并且清除病毒,若用户未按上述要求采取任何安全措施,导致个人计算机在校园网上发送大量的病毒数据包,由于个别机器中毒后没及时处理而影响学校网络,按学校相关规定对其严肃处理!!!
特提醒校园网用户务必采取以下措施。
一、校园网用户要增强网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件;不要随便共享文件和文件夹,即使要共享,也得设置好权限,一般指定特定帐号或特定机器才能访问,另外不建议设置可写或可控制,以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。
二、校园网计算机用户要及时下载和更新操作系统的补丁程序,安装正版的杀毒软件,增强个人计算机防御计算机病毒的能力。
三、用户检查和处理“ ARP 欺骗”木马的方法。
检查本机的“ ARP 欺骗”木马染毒进程,
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。参见上图。
在受到ARP欺骗木马程序(病毒)攻击时,用户可选择下列方法的一种处理。
方法一:下载Anti ARP Sniffer软件保护本地计算机正常运行(点击下载,安装配置前,请先查看帮助视频)。同时把此软件设为自动启动,步骤:先把Antiarp.exe生成桌面快捷方式->选"开始"->"程序"->双击"启动"->再把桌面上Antiarp.exe快捷键拷到"启动"中,以保证下次开机自动运行,起到保护的作用。
方法二:在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 210.26.
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。 也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。 本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令:
arp –s 网关 IP 网关物理地址
。