校园网用户:
最近, 一种新型的“ ARP 欺骗”木马病毒正在各大校园网中扩散,许多高校均受到不同程度的影响。我院部分校园网用户反映其所在网段有时断时通的现象,网络中心经过仔细排查,确认是这些网段中有部分机器感染了"arp欺骗"类的病毒/木马,一个网段中只要有一台主机感染这类病毒,可以造成整个网段的机器通信异常;且期间新老校间租用光缆链路存在不稳定,严重影响了校园网的稳定性和用户的正常使用,经技术防范与设备故障的排除,目前校园网已趋于稳定。因此给校园网用户产生的不便,请见谅。
同时,恳请各校园网用户增强计算机安全防范意识,及时升级防病毒软件和查杀病毒,共同维护良好的网络环境。
病毒名称:ARP欺骗的木马程序(如PWSteal.lemir或其变种)
病毒类型:木马程序/蠕虫病毒
病毒长度:随机的/未知
受影响的系统:Windows 95/98/Me/NT/2000/XP/2003
病毒原理:
当某台主机中了这类ARP欺骗的病毒/木马程序后,会不定期发送仿冒的ARP响应数据报文。这种报文会欺骗所在网段的主机和交换机,让其他用户上网的流量必须经过病毒主机。由于中毒主机本身发送大量的数据报文造成拥塞以及自身处理能力的限制,其他用户上网就会表现出频繁中断的现象。
关于这类病毒的技术细节可参考附件相关的描述和报告,也可参考网上相关内容(1,2)。由于这类病毒/木马可能产生多种变种或者与其他代码形成混合体,不同的防病毒软件报告的病毒名称亦有所不同,用户可以根据情况进行查杀。目前网络中心提供的诺顿防病毒程序。
安全建议:
1、给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)
2、给系统管理员帐户设置足够复杂的强密码,最好能是12位以上,字母+数字+符号的组合;也可以禁用/删除一些不使用的帐户
3、经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
4、关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务
5、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
相关链接:
http://netsupport.tsinghua.edu.cn/newsdetail.php?nid=221
http://202.114.224.41/metc/zxgg/t20060411_4020.htm
http://pkucert.pku.edu.cn/alert.html
教育技术中心
关闭