近期校园网病毒传播较为广泛,常见的有机器狗病毒、ARP欺骗病毒等,这些病毒往往通过U盘、QQ、游戏外挂等途径传播,病毒一旦发作,将干扰网络秩序,影响电脑正常运行。下面给出几种常见病毒的判定及应对方法,请广大校园网用户参考。
(1)机器狗木马病毒
典型现象:
电脑中病毒后,诸如卡巴斯基和瑞星等一系列反病毒软件无法正常运行。
原理分析:
机器狗木马病毒是用一个C语言编写的木马病毒。病毒运行后会删除系统目录下的userinit.exe,并建立一个包含病毒的userinit.exe,随系统每次启动时加载到系统中。此文件运行后会在系统的SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加一系列反病毒软件和安全工具的键值,使这些软件和工具无法正常运行。另外病毒还会尝试注入IE进程通过互联网下载病毒的更新,达到躲避查杀与侦测的目的。
机器狗病毒的判断方法:
方法1:打开C:\WINDOWS\system32文件夹 (或打开系统对应目录),找到userinit.exe、explorer.exe点击右键查看文件的属性,若在属性窗口中看不到文件的版本标签则说明该文件已经被病毒替换系统已经染毒。
方法2:双击卡巴斯基或瑞星等杀毒软件,没有任何反应。
应对方法:
附件中提供瑞星机器狗病毒专杀工具。
(2)ARP欺骗病毒
典型现象:
电脑中病毒后,在网上不断发送伪造ARP应答消息,致使同段内许多主机无法上网或者上网时断时续。
判断是否受到ARP攻击:
正常上网过程中,发现某些校园网服务(比如oa.buu)一会可以访问,一会不可以访问;或者发现附近的计算机能够正常地访问网络,自己的计算机不能正常访问,而换一个接入信息点插座后又能上网了,很可能是所在网段有主机正在进行arp攻击。如果发现网络时断时续后,可以通过察看本机arp缓存来断定是否被arp攻击。
察看办法: Windows 2000/XP/2003系统的用户:
1. 点出 [开始]菜单 - 选[运行] ,输入 cmd 并确定调出命令提示符窗口;
2.在打开的提示符窗口中,输入“arp -a”,如下图所示(正常情况),每个Interface Address对应不同的“Physical Address”;如果发现有多个“Interface Address”对应到同一个“Physical Address”,则该physical address为攻击源。
3.请在发生问题的当时,把该physical address报告给信息网络中心,由信息网络中心禁止该主机上网后,同一网段的其他用户可以恢复正常。
网络中心
2010年10月14日