病毒名称:ARP欺骗的木马程序(如PWSteal.lemir或其变种)
病毒类型:木马程序/蠕虫病毒
病毒长度:随机的/未知
受影响的系统:Windows 95/98/Me/NT/2000/XP/2003
病毒信息:
最近部分校园网用户反映其所在网段有时断时通的现象,信息办公室经过仔细排查,确认是这些网段中有部分机器感染了"arp欺骗"类的病毒/木马。一个网段中只要有一台主机感染这类病毒,可以造成整个网段的机器通信异常。
病毒原理:
当某台主机中了这类ARP欺骗的病毒/木马程序后,会不定期发送仿冒的ARP响应数据报文。这种报文会欺骗所在网段的主机和交换机,让其他用户上网的流量必须经过病毒主机。由于中毒主机本身发送大量的数据报文造成拥塞以及自身处理能力的限制,其他用户上网就会表现出频繁中断的现象。
关于这类病毒的技术细节可参考附件相关的描述和报告,也可参考网上相关内容(1,2)。由于这类病毒/木马可能产生多种变种或者与其他代码形成混合体,不同的防病毒软件报告的病毒名称亦有所不同,用户可以根据情况进行查杀。目前信息办公室提供的诺顿防病毒程序可以对这类病毒起到较好的防护作用,请没有安装的防病毒程序的用户下载安装。
安全建议:
1、给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)
2、给系统管理员帐户设置足够复杂的强密码,最好能是12位以上,字母+数字+符号的组合;也可以禁用/删除一些不使用的帐户
3、经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
4、关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务
5、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
中毒用户列表:
经过技术排查,此列表中的机器曾经发送过“ARP欺骗”的数据报文,请相应的用户及时进行杀毒处理。
附件一:Symantec Norton关于WSteal.Lemir.Gen的描述与杀毒办法
