局域网中ARP地址欺骗病毒的查杀方法

如何找到了ARP中毒电脑，那么接下来的操作就是如何杀毒了。有一点需要注意的是：当找到中毒电脑后，应该立即拔掉中毒电脑的网线，以免其继续发包干扰全网的运行。
对于ARP病毒电脑的查杀办法，首先可以利用杀毒软件杀毒，但是由于现在病毒变种极其繁多，有可能遇到杀毒软件查不出来的情况，这时候就需要借助手工杀毒的办法了，下面介绍一些经验。
根据一些经验，较老类型的ARP病毒运行特征比较隐蔽，电脑中毒时并无明显异常现象，这类病毒运行时自身无进程，通过注入到Explorer.exe进程来实现隐藏自身。其注册表中的启动项也很特殊，并非常规的Run键值加载，也不是服务加载，而是通过注册表的AppInit_DLLs 键值加载实现开机自启动的，这一点比较隐蔽，因为正常的系统AppInit_DLLs键值是空的。也正由于这个特点，利用Autoruns这个工具软件就可以快速扫描出病毒文件体，如图1：

 图1   Autoruns工具检测出病毒文件主体

上图中红色框内的部分，就是ARP病毒文件主体，该文件虽然扩展名为log，看似很像是系统日志文件，但其实，它是一个不折不扣的病毒！除了Log形式的病毒文件，还有一些以Bmp作为扩展名的病毒文件，同样，这些病毒文件也不是图片文件，而是EXE格式的可执行文件，在同目录下还有同名的dll文件，这些都是病毒体。

%WinDir%\ KB*.log
或者
%WinDir%\ *.bmp
%WinDir%\同名.dll

如何区别正常的log日志文件，bmp图片文件和病毒文件呢？其实很简单，用记事本程序打开该文件，查看其文件头是否有“MZ”的标记即可，如图2就是一个名字为“KB896475.log”的病毒文件。

 图2   一个ARP病毒文件体

找到这些文件后，可以先清除注册表中的相关键值，然后重启系统到安全模式下，手动删除文件即可。
对于最近多发的，修改WEB请求页面的新型ARP病毒，则改变了病毒文件的表现形式，现对简单，利用系统进程查看和启动项查看注册表的Run键值，可以明显发现病毒的文件。
ARP病毒的网络免疫措施
由于ARP病毒的种种网络特性，可以采用一些技术手段进行网络中ARP病毒欺骗数据包免疫。即便网络中有ARP中毒电脑，在发送欺骗的ARP数据包，其它电脑也不会修改自身的ARP缓存表，数据包始终发送给正确的网关，用的比较多的办法是“双向绑定法” 。
双向绑定法，顾名思义，就是要在两端绑定IP－MAC地址，其中一端是在路由器中，把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。令一端是局域网中的每个客户机，在客户端设置网关的静态ARP信息，这叫PC机IP-MAC绑定。客户机中的设置方法如下：
新建记事本，输入如下命令：

arp -d
arp -s 192.168.0.1  00-e0-4c-8c-9a-47

【相关文章】

• 用命令行方法查找中ARP地址欺骗病毒的电脑

• ARP病毒定位工具全介绍之Anti ARP Sniffer

• 浏览更多ARP病毒相关资讯与文章