防范ARP病毒的反复发作
“我曾经中了ARP病毒,为什么第一次中了后就会反复发作,即使清除干净后过一段时间后又出现了?有没有什么有效的清除方法?”近日,很多电脑用户在江民反病毒社区专家在线答疑活动中提出了类似问题。由于清除此类病毒异常困难,用户迫切希望能够了解怎样才能彻底防范此类病毒。
江民反病毒专家介绍,ARP病毒也叫ARP地址欺骗类病毒,这是一类特殊的病毒。该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。
专家介绍,ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。
江民科技最新发布的2007年上半年计算机疫情报告数据显示,ARP病毒位列十大病毒排行榜第四位,而且目前ARP地址欺骗技术已经被越来越多的病毒所采用,成为病毒发展的一个新趋势。专家指出,ARP病毒之所以会反复发作,主要是由于目前网页木马都是利用微软的MS06-014和MS07-017两个漏洞进入到系统里面的,如果没有打好这两个补丁,就很容易再次受到攻击,同时将MAC-IP双向绑定也可以达到免疫ARP病毒的效果。
江民反病毒专家给出了关于ARP病毒具体防范措施,电脑用户只需执行以下六个步骤,即可有效防范ARP病毒:
1、做好IP-MAC地址的绑定工作(即将IP地址与硬件识别地址绑定),在交换机和客户端都要绑定,这是可以使局域网免疫ARP病毒侵扰的好办法。
2、全网所有的电脑都打上MS06-014和MS07-017这两个补丁,这样可以免疫绝大多数网页
木马,防止在浏览网页的时候感染病毒。
MS06-014 中文版系统补丁下载地址:
http://www.microsoft.com/china/technethttp://security.chinaitlab.com/bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址:
http://www.microsoft.com/china/technethttp://security.chinaitlab.com/bulletin/MS07-017.mspx
3、禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
4、在网络正常时候保存好全网的IP-MAC地址对照表,这样在查找ARP中毒电脑时很方便。
5、部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。
6、安装杀毒软件,及时升级病毒库,定期全网杀毒。
|