ARP病毒:計算機病毒-中文百科頻道

故障原因

主要原因是在局域網中有人使用了ARP欺騙的木馬程序，比如一些盜号的軟件。

病毒現象

當局域網内有某台電腦運行了此類ARP欺騙的木馬的時候，其他用戶原來直接通過路由器上網轉由通過病毒主機上網，切換的時候用戶會斷一次線。

切換到病毒主機上網後，如果用戶已經登陸了傳奇服務器，那麼病毒主機就會經常僞造斷線的假像，那麼用戶就得重新登錄傳奇服務器，這樣病毒主機就可以盜号了。

由于ARP欺騙的木馬發作的時候會發出大量的數據包導緻局域網通訊擁塞，用戶會感覺上網速度越來越慢。當木馬程序停止運行時，用戶會恢複從路由器上網，切換中用戶會再斷一次線。

該機一開機上網就不斷發Arp欺騙報文，即以假冒的網卡物理地址向同一子網的其它機器發送Arp報文，甚至假冒該子網網關物理地址蒙騙其它機器，使網内其它機器改經該病毒主機上網，這個由真網關向假網關切換的過程中其它機器會斷一次網。倘若該病毒機器突然關機或離線，則其它機器又要重新搜索真網關，于是又會斷一次網。所以會造成某一子網隻要有一台或一台以上這樣的病毒機器，就會使其他人上網斷斷續續，嚴重時将使整個網絡癱瘓。這種病毒（木馬）除了影響他人上網外，也以竊取病毒機器和同一子網内其它機器上的用戶帳号和密碼為目的，而且它發的是Arp報文，具有一定的隐秘性，如果占系統資源不是很大，又無防病毒軟件監控，一般用戶不易察覺。

經抽樣測試，學校提供的賽門鐵克防病毒軟件企業版10.0能有效查殺已知的Arp欺騙病毒（木馬）病毒。惡意軟件由于國際上未有明确界定，暫無一款防病毒軟件能提供100%杜絕其發作的解決方案，需要借助某些輔助工具進行清理。

解決思路

不要把你的網絡安全信任關系建立在IP基礎上或MAC基礎上。

設置靜态的MAC-->IP對應表，不要讓主機刷新你設定好的轉換表。

除非必要，否則停止ARP使用，把ARP做為永久條目保存在對應表中。

使用ARP服務器。确保這台ARP服務器不被黑。

使用"proxy"代理IP傳輸。

使用硬件屏蔽主機。

定期用響應的IP包中獲得一個rarp請求，檢查ARP響應的真實性。

定期輪詢，檢查主機上的ARP緩存。

使用防火牆連續監控網絡。

解決方案

一般出現局域網

網吧用戶一般可以用ROS路由進行綁定，在主機上安裝上ARP防火牆服務端，客戶機安裝客戶端，雙相綁定比較安全。

軟件百度搜索下

推薦軟件：http://wwwantiarpcom/down.asp?ArticleID=81

市面上有衆多的ARP防火牆推薦使用360

建議采用雙向綁定解決和防止ARP欺騙。在電腦上綁定路由器的IP和MAC地址

首先，獲得路由器的内網的MAC地址（例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa局域網端口MAC地址>）。

編寫一個批處理文件rarp.bat内容如下：

@echo off

arp -d

arp -s 192.168.16.254 00-22-aa-00-22-aa

将網關IP和MAC更改為您自己的網關IP和MAC即可，讓這個文件開機運行（拖到“開始-程序-啟動”）。

自己手動清除病毒：

⒈立即升級操作系統中的防病毒軟件和防火牆，同時打開“實時監控”功能，實時地攔截來自局域網絡上的各種ARP病毒變種。

⒉立即根據自己的操作系統版本下載微軟MS06-014和MS07-017兩個系統漏洞補丁程序，将補丁程序安裝到局域網絡中存在這兩個漏洞的計算機系統中，防止病毒變種的感染和傳播。

⒊檢查是否已經中毒：

a.在設備管理器中，單擊“查看—顯示隐藏的設備”

b.在設備樹結構中，打開“非即插即用設備”

c.查找是否存在：“NetGroup Packet Filter Driver”或“NetGroup Packet Filter”，如果存在，就表明已經中毒。

⒋對沒有中毒機器，可以下載軟件Anti ARP Sniffer，填入網關，啟用自動防護，保護自己的ip地址以及網關地址，保證正常上網。

⒌對已經中毒電腦可以用以下方法手動清除病毒：

⑴删除：%windows%System32LOADHW.EXE（有些電腦可能沒有）

⑵a.在設備管理器中，單擊“查看—顯示隐藏的設備”

b.在設備樹結構中，打開“非即插即用設備”

c.找到“NetGroup Packet Filter Driver”或“NetGroup Packet Filter”

d.右點擊，”卸載”

e.重啟系統

⑶删除：%windows%System32driversnpf.sys

⑷删除%windows%System32msitinit.dll（有些電腦可能沒有）

⑸删除注冊表服務項：開始〉運行〉regedit〉打開，進入注冊表，全注冊表搜索npf.sys，把文件所在文件夾Npf整個删除.（應該有2個）.至此arp病毒清除.

⑹根據經驗，該病毒會下載大量病毒，木馬及惡意軟件，并修改winsocks，導緻不能打開網頁，不能打開netmeeting等，為此還需要做下面幾步工作：

a.用殺毒軟件清理惡意軟件，木馬.

b.檢查并删除下列文件并相關啟動項：

1）%windows%System32nwizwmgjs.exe（一般殺毒軟件會隔離）

2）%windows%System32nwizwmgjs.dll（一般殺毒軟件會隔離）

3）%windows%System32ravzt.exe（一般殺毒軟件會隔離）

4）%windows%System32ravzt.dat

3）%windows%System32googleon.exe

c.重置winsock（可以用軟件修複，下面介紹一個比較簡單的辦法）：

開始>；運行>CMD，進入命令提示符，輸入cd..回車，一直退出至c盤根目錄，在C:>；下輸入netsh winsock reset回車，然後按提示重啟計算機。

攻擊現象

⒈網上銀行、遊戲及QQ賬号的頻繁丢失

一些人為了獲取非法利益，利用ARP欺騙程序在網内進行非法活動，此類程序的主要目的在于破解賬号登陸時的加密解密算法，通過截取局域網中的數據包，然後以分析數據通訊協議的方法截獲用戶的信息。運行這類木馬病毒，就可以獲得整個局域網中上網用戶賬号的詳細信息并盜取。

⒉網速時快時慢，極其不穩定，但單機進行光纖數據測試時一切正常

當局域内的某台計算機被ARP的欺騙程序非法侵入後，它就會持續地向網内所有的計算機及網絡設備發送大量的非法ARP欺騙數據包，阻塞網絡通道，造成網絡設備的承載過重，導緻網絡的通訊質量不穩定。

⒊局域網内頻繁性區域或整體掉線，重啟計算機或網絡設備後恢複正常

當帶有ARP欺騙程序的計算機在網内進行通訊時，就會導緻頻繁掉線，出現此類問題後重啟計算機或禁用網卡會暫時解決問題，但掉線情況還會發生。

病毒原理

網絡模型簡介

衆所周知，按照OSI(Open Systems Interconnection Reference Model開放系統互聯參考模型）的觀點，可将網絡系統劃分為7層結構，每一個層次上運行着不同的協議和服務，并且上下層之間互相配合，完成網絡數據交換的功能。

然而，OSI的模型僅僅是一個參考模型，并不是實際網絡中應用的模型。實際上應用最廣泛的商用網絡模型即TCP/IP體系模型，将網絡劃分為四層，每一個層次上也運行着不同的協議和服務。

協議簡介

我們大家都知道，在局域網中，一台主機要和另一台主機進行通信，必須要知道目标主機的IP地址，但是最終負責在局域網中傳送數據的網卡等物理設備是不識别IP地址的，隻能識别其硬件地址即MAC地址。MAC地址是48位的，通常表示為12個16進制數，每2個16進制數之間用“-”或者冒号隔開，如：00-0B-2F-13-1A-11就是一個MAC地址。每一塊網卡都有其全球唯一的MAC地址，網卡之間發送數據，隻能根據對方網卡的MAC地址進行發送，這時就需要一個将高層數據包中的IP地址轉換成低層MAC地址的協議，而這個重要的任務将由ARP協議完成。

ARP全稱為Address Resolution Protocol，地址解析協議。所謂“地址解析”就是主機在發送數據包前将目标主機IP地址轉換成目标主機MAC地址的過程。ARP協議的基本功能就是通過目标設備的IP地址，查詢目标設備的MAC地址，以保證通信的順利進行。這時就涉及到一個問題，一個局域網中的電腦少則幾台，多則上百台，這麼多的電腦之間，如何能準确的記住對方電腦網卡的MAC地址，以便數據的發送呢？這就涉及到了另外一個概念，ARP緩存表。在局域網的任何一台主機中，都有一個ARP緩存表，該表中保存這網絡中各個電腦的IP地址和MAC地址的對照關系。當這台主機向同局域網中另外的主機發送數據的時候，會根據ARP緩存表裡的對應關系進行發送。

下面，我們用一個模拟的局域網環境，來說明ARP欺騙的過程。

欺騙過程

假設一個隻有三台電腦組成的局域網，該局域網由交換機(Switch）連接。其中一個電腦名叫A，代表攻擊方；一台電腦叫S，代表源主機，即發送數據的電腦；另一台電腦名叫D，代表目的主機，即接收數據的電腦。這三台電腦的IP地址分别為192.168.0.2，192.168.0.3，192.168.0.4。MAC地址分别為MAC_A，MAC_S，MAC_D。

現在，S電腦要給D電腦發送數據了，在S電腦内部，上層的TCP和UDP的數據包已經傳送到了最底層的網絡接口層，數據包即将要發送出去，但這時還不知道目的主機D電腦的MAC地址MAC_D。這時候，S電腦要先查詢自身的ARP緩存表，查看裡面是否有192.168.0.4這台電腦的MAC地址，如果有，那很好辦，就将封裝在數據包的外面。直接發送出去即可。如果沒有，這時S電腦要向全網絡發送一個ARP廣播包，大聲詢問：“我的IP是192.168.0.3，硬件地址是MAC_S，我想知道IP地址為192.168.0.4的主機的硬件地址是多少？”這時，全網絡的電腦都收到該ARP廣播包了，包括A電腦和D電腦。A電腦一看其要查詢的IP地址不是自己的，就将該數據包丢棄不予理會。而D電腦一看IP地址是自己的，則回答S電腦：“我的IP地址是192.168.0.4，我的硬件地址是MAC_D”需要注意的是，這條信息是單獨回答的，即D電腦單獨向S電腦發送的，并非剛才的廣播。現在S電腦已經知道目的電腦D的MAC地址了，它可以将要發送的數據包上貼上目的地址MAC_D，發送出去了。同時它還會動态更新自身的ARP緩存表，将192.168.0.4－MAC_D這一條記錄添加進去，這樣，等S電腦下次再給D電腦發送數據的時候，就不用大聲詢問發送ARP廣播包了。這就是正常情況下的數據包發送過程。

這樣的機制看上去很完美，似乎整個局域網也天下太平，相安無事。但是，上述數據發送機制有一個緻命的缺陷，即它是建立在對局域網中電腦全部信任的基礎上的，也就是說它的假設前提是：無論局域網中那台電腦，其發送的ARP數據包都是正确的。那麼這樣就很危險了！因為局域網中并非所有的電腦都安分守己，往往有非法者的存在。比如在上述數據發送中，當S電腦向全網詢問“我想知道IP地址為192.168.0.4的主機的硬件地址是多少？”後，D電腦也回應了自己的正确MAC地址。但是當此時，一向沉默寡言的A電腦也回話了：“我的IP地址是192.168.0.4，我的硬件地址是MAC_A”，注意，此時它竟然冒充自己是D電腦的IP地址，而MAC地址竟然寫成自己的！由于A電腦不停地發送這樣的應答數據包，本來S電腦的ARP緩存表中已經保存了正确的記錄：192.168.0.4－MAC_D，但是由于A電腦的不停應答，這時S電腦并不知道A電腦發送的數據包是僞造的，導緻S電腦又重新動态更新自身的ARP緩存表，這回記錄成：192.168.0.4－MAC_A，很顯然，這是一個錯誤的記錄（這步也叫ARP緩存表中毒），這樣就導緻以後凡是S電腦要發送給D電腦，也就是IP地址為192.168.0.4這台主機的數據，都将會發送給MAC地址為MAC_A的主機，這樣，在光天化日之下，A電腦竟然劫持了由S電腦發送給D電腦的數據！這就是ARP欺騙的過程。

如果A這台電腦再做的“過分”一些，它不冒充D電腦，而是冒充網關，那後果會怎麼樣呢？我們大家都知道，如果一個局域網中的電腦要連接外網，也收發的數據都就是登陸互聯網的時候，都要經過局域網中的網關轉發一下，所有要先經過網關，再由網關發向互聯網。在局域網中，網關的IP地址一般為192.168.0.1。如果A這台電腦向全網不停的發送ARP欺騙廣播，大聲說：“我的IP地址是192.168.0.1，我的硬件地址是MAC_A”這時局域網中的其它電腦并沒有察覺到什麼，因為局域網通信的前提條件是信任任何電腦發送的ARP廣播包。這樣局域網中的其它電腦都會更新自身的ARP緩存表，記錄下192.168.0.1－MAC_A這樣的記錄，這樣，當它們發送給網關，也就是IP地址為192.168.0.1這台電腦的數據，結果都會發送到MAC_A這台電腦中！這樣，A電腦就将會監聽整個局域網發送給互聯網的數據包！

實際上，這種病毒早就出現過，這就是ARP地址欺騙類病毒。一些傳奇木馬（Trojan/PSW.LMir）具有這樣的特性，該木馬一般通過傳奇外挂、網頁木馬等方式使局域網中的某台電腦中毒，這樣中毒電腦便可嗅探到整個局域網發送的所有數據包，該木馬破解了《傳奇》遊戲的數據包加密算法，通過截獲局域網中的數據包，分析數據包中的用戶隐私信息，盜取用戶的遊戲帳号和密碼。在解析這些封包之後，再将它們發送到真正的網關。這樣的病毒有一個令網吧遊戲玩家聞之色變的名字：“傳奇網吧殺手”。

病毒表現形式

由于網絡遊戲數據包在發送過程中，均已采用了強悍的加密算法，因此這類ARP病毒在解密數據包的時候遇到了很大的難度。新出現的一種ARP病毒，與以前的一樣的是，該類ARP病毒也是向全網發送僞造的ARP欺騙廣播，自身僞裝成網關。但區别是，它着重的不是對網絡遊戲數據包的解密，而是對于HTTP請求訪問的修改。

HTTP是應用層的協議，主要是用于WEB網頁訪問。還是以上面的局域網環境舉例，如果局域網中一台電腦S要請求某個網站頁面，如想請求easynet.5d6dcom這個網頁，這台電腦會先向網關發送HTTP請求，說：“我想登陸easynet.5d6dcom網頁，請你将這個網頁下載下來，并發送給我。”這樣，網關就會将easynet.5d6dcom頁面下載下來，并發送給S電腦。這時，如果A這台電腦通過向全網發送僞造的ARP欺騙廣播，自身僞裝成網關，成為一台ARP中毒電腦的話，這樣當S電腦請求WEB網頁時，A電腦先是“好心好意”地将這個頁面下載下來，然後發送給S電腦，但是它在返回給S電腦時，會向其中插入惡意網址連接！該惡意網址連接會利用MS06-014和MS07-017等多種系統漏洞，向S電腦種植木馬病毒！同樣，如果D電腦也是請求WEB頁面訪問，A電腦同樣也會給D電腦返回帶毒的網頁，這樣，如果一個局域網中存在這樣的ARP病毒電腦的話，整個網段的電腦将會全部中毒！

電腦定位

命令行法

這種方法比較簡便，不利用第三方工具，利用系統自帶的ARP命令即可完成。上文已經說過，當局域網中發生ARP欺騙的時候，ARP病毒電腦會向全網不停地發送ARP欺騙廣播，這時局域網中的其它電腦就會動态更新自身的ARP緩存表，将網關的MAC地址記錄成ARP病毒電腦的MAC地址，這時候我們隻要在其它受影響的電腦中查詢一下當前網關的MAC地址，就知道中毒電腦的MAC地址了，查詢命令為ARP－a，需要在cmd命令提示行下輸入。輸入後的返回信息如下：

Internet Address Physical Address Type

192.168.0.1 00-50-56-e6-49-56 dynamic

這時，由于這個電腦的ARP表是錯誤的記錄，因此，該MAC地址不是真正網關的MAC地址，而是中毒電腦的MAC地址！這時，再根據網絡正常時，全網的IP—MAC地址對照表，查找中毒電腦的IP地址就可以了。由此可見，在網絡正常的時候，保存一個全網電腦的IP—MAC地址對照表是多麼的重要。可以使用nbtscan工具掃描全網段的IP地址和MAC地址，保存下來，以備後用。

工具軟件法

現在網上有很多ARP病毒定位工具，其中做得較好的是Anti ARP Sniffer（現在已更名為ARP防火牆），下面我就演示一下使用Anti ARP Sniffer這個工具軟件來定位ARP中毒電腦。

首先打開Anti ARP Sniffer軟件，輸入網關的IP地址之後，再點擊紅色框内的“枚舉MAC”按鈕，即可獲得正确網關的MAC地址.

接着點擊“自動保護”按鈕，即可保護當前網卡與網關的正常通信。

當局域網中存在ARP欺騙時，該數據包會被Anti ARP Sniffer記錄，該軟件會以氣泡的形式報警。

這時，我們再根據欺騙機的MAC地址，對比查找全網的IP－MAC地址對照表，即可快速定位出中毒電腦。

抓包嗅探法

當局域網中有ARP病毒欺騙時，往往伴随着大量的ARP欺騙廣播數據包，這時，流量檢測機制應該能夠很好的檢測出網絡的異常舉動，此時Ethereal這樣的抓包工具就能派上用場。

以上三種方法有時需要結合使用，互相印證，這樣可以快速準确的将ARP中毒電腦定位出來。

病毒查殺

較老類型的ARP病毒運行特征比較隐蔽，電腦中毒時并無明顯異常現象，這類病毒運行時自身無進程，通過注入到Explorer.exe進程來實現隐藏自身。其注冊表中的啟動項也很特殊，并非常規的Run鍵值加載，也不是服務加載，而是通過注冊表的AppInit_DLLs鍵值加載實現開機自啟動的，這一點比較隐蔽，因為正常的系統AppInit_DLLs鍵值是空的。也正由于這個特點，利用Autoruns這個工具軟件就可以快速掃描出病毒文件體。

ARP病毒文件主體，該文件雖然擴展名為log，看似很像是系統日志文件，但其實，它是一個不折不扣的病毒！除了Log形式的病毒文件，還有一些以Bmp作為擴展名的病毒文件，同樣，這些病毒文件也不是圖片文件，而是EXE格式的可執行文件，在同目錄下還有同名的dll文件，這些都是病毒體。

%WinDir%KB*.log

或者

%WinDir%*.bmp

%WinDir%同名.dll

如何區别正常的log日志文件，bmp圖片文件和病毒文件呢？其實很簡單，用記事本程序打開該文件，查看其文件頭是否有“MZ”的标記即可，找到這些文件後，可以先清除注冊表中的相關鍵值，然後重啟系統到安全模式下，手動删除文件即可。

對于最近多發的，修改WEB請求頁面的新型ARP病毒，則改變了病毒文件的表現形式，現對簡單，利用系統進程查看和啟動項查看注冊表的Run鍵值，可以明顯發現病毒的文件，另外，利用KV的未知病毒掃描程序進行檢測，也是一個好辦法。

局域網ARP病毒通用的處理流程

⒈先保證網絡正常運行

方法一：編輯個***.bat文件内容如下：

arp.exes

**.**.**.**（網關ip）****

**（

網關mac地址）

end

讓網絡用戶點擊就可以了！

辦法二：編輯一個注冊表問題，鍵值如下：

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

“mac”=“arps

網關IP地址網關Mac地址”

然後保存成Reg文件以後在每個客戶端上點擊導入注冊表。

2找到感染ARP病毒的機器。

a：在電腦上ping一下網關的IP地址，然後使用ARP－a的命令看得到的網關對應的MAC地址是否與實際情況相符，如不符，可去查找與該MAC地址對應的電腦。

b：使用抓包工具，分析所得到的ARP數據報。有些ARP病毒是會把通往網關的路徑指向自己，有些是發出虛假ARP回應包來混淆網絡通信。第一種處理比較容易，第二種處理比較困難，如果殺毒軟件不能正确識别病毒的話，往往需要手工查找感染病毒的電腦和手工處理病毒，比較困難。

c：使用mac地址掃描工具，nbtscan掃描全網段IP地址和MAC地址對應表，有助于判斷感染ARP病毒對應MAC地址和IP地址。

預防措施：

1，及時升級客戶端的操作系統和應用程式補丁；

2，安裝和更新殺毒軟件。

4，如果網絡規模較少，盡量使用手動指定IP設置，而不是使用DHCP來分配IP地址。

5，如果交換機支持，在交換機上綁定MAC地址與IP地址。

防範技巧

病毒的認識

由于局域網在最初設計的時候沒有考慮安全的問題，所以存在很多漏洞，arp欺騙就是最常見的一種。

ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對内網PC的網關欺騙。第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的内網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據隻能發送給錯誤的MAC地址，造成正常PC無法收到信息。

第二種ARP欺騙的原理是——僞造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。