網吧頻繁掉線（ARP）與快速解決方法

現在頻繁掉線的網吧很多.但為何掉線，許多網管朋友，不是很清楚.網吧掉線的原因很多.現在我給大家講一下現在很流行的一種木馬.<傳奇網吧殺手>，基本上東北地區的網吧都被這一木馬弄的身心疲憊.但是現在有解決的方法了. 

中病毒特征 

網吧不定時的掉線.(重新開機路由後正常)，網吧區域網路内有個别機器掉線. 

木馬分析：傳奇殺手木馬，是通過ARP欺騙，來或取區域網路内發往外網的資料.進而截獲局域内一些網遊的使用者名和密碼. 

木馬解析 

中木馬的機器能虛拟出一個路由器的MAC位址和路由器的IP.當病毒發作時，區域網路内就會多出一個路由器的MAC位址.内網在發往外網的資料時，誤認為中木馬的機器是路由器，進而把這些資料發給了虛拟的路由器.真正路由器的MAC位址被占用.内網的資料發出不去.是以就掉線了. 

解決辦法 

首先你下載下傳一個網絡執法官，他可以監控區域網路内所有機器的MAC位址和區域網路内的IP位址.在設定網絡執法官時.你必須将網絡執法官的IP段設定和你内網的IP段一樣.比如說:你的内網IP是192.168.1.1------192.168.1.254你的設定時也要設定192.168.1.1---- --192.168.1.254.設定完後，你就會看到你的内網中的MAC位址和IP位址.進而可以看出哪台機器中了木馬.(在多出的路由器MAC位址和 IP位址和内網機器的IP位址，MAC位址一樣的說明中了傳奇網吧殺手)要是不知道路由器的MAC位址，在路由器的設定界面可以看到.發現木馬後.你還要下載下傳瑞星2006最新版的殺病毒軟體(3月15日之後的病毒庫).在下載下傳完之後必須在安全模式下清除(這是瑞星反病毒專家的見意)反複清除(一般在四次就可以了)注意查完後殺病毒軟體不要解除安裝掉.觀查幾天(這是我個人的經驗.在卸後第三天病毒還會死灰複燃，我想可能是系統資料庫裡還有他的隐藏檔案.在觀查幾天後正常就可以解除安裝掉了. 

注:還原精靈和冰點對網吧傳奇殺手木馬不起做用.(傳奇殺手木馬不會感染區域網路.不要用硬碟對克，對克跟本不起任何做用.而且還會感染到母盤上.切記!) 

最好主機安裝上網絡執法官，這樣可以時時監控區域網路内的動态，發現木馬後可以及時做出對策) 

下面是傳奇網吧殺手木馬的檔案: 

檔案名： 檔案路徑： 病毒名： 

a.exe>>b.exe c:\windows\system32 Trojan.psw.lmir.jbg 

235780.dll c:\windows\ Trojan.psw.lmir.aji 

kb2357801.log c:\windows\ Trojan.psw.lmir.jhe 

Q98882.log c:\windows\ Trojan.psw.lmir.jhe 

kb2357802.log c:\windows\ Trojan.psw.lmir.jbg 

Q90979.log c:\windows\ Trojan.psw.lmir.jhe 

Q99418.log c:\windows\ Trojan.psw.lmir.jbg 

ZT.exe c:\windows\program Files\浩方對戰平台 病毒名：Trojan.dL.agent.eqv 

a[1].exe>>b.exec:\documents and sttings\sicent\local settings\Temporary Internet Files\content.IE5\Q5g5g3uj 

病毒名:Trojan.psw.lmir.jbg 

（網絡執法官可以批量MAC捆綁，到執法官的區域網路MAC界面，全選後單擊右鍵會出現批量MAC捆綁．做完捆綁以後，ARP要是在次攻擊時他會報警，出現的假MAC是為非法．網絡執法官會終止他的一切操作．）這樣可以解決ARP再次攻擊．

本文轉自loveme2351CTO部落格，原文連結：http://blog.51cto.com/loveme23/8020 ，如需轉載請自行聯系原作者