关于近日“ARP欺骗类”木马病毒较严重的通告

    近期校园网个别网段（尤其学生机房）爆发“ARP欺骗类”木马病毒，病毒发作时明显的症状就是同一个子网中的计算机频繁断网。（注：ARP类木马病毒是一类病毒，并不是具体指哪一个病毒。）

    各机房或者院系的管理员可以进行如下故障诊断：

    “开始”菜单--“运行”--输入：cmd 点击“确定”，在出现的命令行界面，输入：arp -a 查看当前 ARP 表，结果类似：

C:\>arp -a

Interface: 192.168.120.16 --- 0x4
Internet Address    Physical Address      Type
192.168.120.1       00-16-57-e2-fe-48     dynamic  网关一般为 ***.***.***.1

C:\>

    然后输入： arp -d * 删除当前表项，重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。在能上网的时候再次执行 arp -a 查看 ARP 表项，网关的物理地址（Physical Address）应该和上面不一样，这才是正确的网关地址。但由于病毒仍然存在，很快将再次不能上网。也就是将再次学习到错误的网关物理地址。

    但也有其他ARP病毒，可以导致所有主机获得的网关物理地址为：00-00-00-00-00-00。

为了保证校园网络的安全畅通，现将有关事项公告如下：

已经感染ARP类木马病毒的用户，可以从校园网下载趋势SysClean工具或其他杀毒软件进行清除病毒木马。

下载地址：ftp://dreamlan.sxu.edu.cn
/pub/中文软件/防病毒/Trend_Micro/SysClean/SysClean.exe

由于同一个网段中，只要有一台电脑感染此类病毒，就可能影响整个网段，所以各单位务必确保所有联网PC均未感染病毒，并安装有最新的防病毒软件。

如果不能保证同一网段所有电脑不感染此病毒，只能采取被动的防御方法，下载此工具：

/pub/中文软件/防病毒/工具/AntiArpSniffer3.zip   点击“自动保护”即可。

校园网是公共服务设施，保障网络安全、稳定运行不仅是信息网络中心的工作，更是每位网络用户应尽的义务。只有依靠大家群策群力、群防群治，网络才能长治久安。

                                     山西大学信息网络中心

                                          2006.11.06