近期，一种新的“ARP欺骗”木马病毒在互联网上扩散，我院院内多次发现机器感染此病毒，表现为用户频繁断网甚至不能上网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题。为了保证校园网络的安全畅通，现将有关解决方案如下:

一、判断本机是否感染该病毒：

中毒的计算机会运行一个名为“MIR0.dat”的进程，用户可通过察看任务管理器中的进程信息来判断计算机是否感染该病毒。操作步骤：同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，出现下图。

图一

在 “Windows任务管理器”窗口，点选“进程”标签。如果有“MIR0.dat”，则说明已经中毒。右键点击此进程后选择“结束进程”。参见图一

针对感染该病毒的计算机，市面上常见的杀毒软件只要及时更新病毒库以及及时升级系统补丁，基本都可以防御该病毒感染。该病毒特性，会造成同一网段的所有上线计算机均无法正常连接网络。由于病毒影响范围大，本通知公布后，网络中心一旦发现有感染病毒的计算机，会暂时关闭其上网权，直至用户修复系统。

为避免类似网络安全问题的根本解决办法是定期更新操作系统和安装防病毒软件并按时升级病毒库。系统未及时更新的用户请下载系统补丁。

二、故障处理

1、使用ARP病毒专杀工具查杀病毒

点击这里打开ARP病毒专杀工具下载页面。下载后解压缩，运行包内TSC.exe文件，不要关让它一直运行完，最后查看report文件夹下日期文档便知是否中毒。

2、使用AntiArp软件抵御ARP攻击。

点击这里打开AntiArp软件下载页面。下载后安装Antiarp3.exe，再双击桌面上名为“AntiArpSniffer”的图标（快捷方式），运行界面如下图2所示

图2

然后在图2红线内输入网关地址->点击“枚取MAC” ->点击“自动保护”，最后选择图2右下方的蓝色方框内的“开机启动运行软件”，选中该操作时如果您的防病毒软件出现提示对话框，请允许执行该操作。

若不知道网关地址，可通过以下操作获取：点击“开始”按钮->选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车，“Default Gateway”后的ip地址就是网关。

注：设置完毕后可点击图2中的最小化窗口按钮，可最小化该防病毒软件。

现代技术教育部网络中心

2006年11月23日