161816 ARP病毒解決（之一）

當網域中有一台電腦中了 161816 病毒之後，所有同網域中的電腦都會受到影響。此病毒為 ARP 病毒，會發出 ARP 封包「欺騙」網域中其他正常的電腦，說它自己就是 gateway。

假設網域中有一台中毒電腦，稱為 A。
其他未中毒的電腦，稱為 B。

[[MORE]]

A 會傳出欺騙封包廣播給其他電腦 (ARP broadcast)，而 B 收到這個封包，就會認為 A 就是 B 的 gateway。

於是 B 上網的時候，比如說連到 yahoo，就自然透過 A 去要 HTTP 資料。而 A 也很盡責將 yahoo 的網頁內容回傳給 B。於是 B 當然也能看到 yahoo 正常的頁面。

但是 A 會在這個頁面中，用 iframe 插入一個網頁，也就是 www.161816.com。

所以 B 上網的時候，雖然看到 yahoo 的頁面，但是會發現瀏覽器下方的狀態列會顯示「正在連線到 www.161816.com」，稍有警覺性的人這時候應該就會發現不對了，但大多數人認為可以正常上網就好，管他的。

由於用 iframe 插入正常頁面中，所以有時候會看到正常網頁的右上角會出現一個空白的小框框（就是 frame）。

當 B 的 iframe 連上 161816 網站之後，原本正常的 B 就會執行網頁上的程式，於是 B 也中毒了。

就算 B 裝上防毒軟體好了（目前小弟測試過 antivir 跟卡巴斯基都可以偵測此病毒，而 Symantec Norton 與 Trend Macro 都是視而不見），它將會變得寸步難行。因為 B 一連上 yahoo，防毒軟體偵測到 yahoo 網頁中的 iframe 含有惡意程式碼，於是會禁止顯示網頁。所以 B 等於被斷線了。

換句話說，網域中有一台電腦中了 161816 病毒，等於其他的電腦就只剩兩個選擇：1. 不裝防毒軟體，由 iframe 導致中毒 2. 裝防毒軟體，網路被防毒軟體斷線。

既然這麼慘，還是把網路線拔掉比較快吧。

那怎麼解決這隻病毒？

（啊，開會時間到了，小弟先走一步，晚點再說。）