治本的方法當然得找出感染源,然後加以解毒,這個留待後面再說。因為大部分的電腦都是個人使用者,而非網管,所以我先講治標的自保之道。
[[MORE]]
治標(自保之道):
- 使用 Firefox 搭配 NoScript 擴充套件。
這個方法可以避免連上有毒網頁後,因執行 javascript 而中毒。總之可疑的網站一律不給執行 javascript。 - 清除網頁暫存
從瀏覽器中清空網頁暫存,以免又開啟有毒的 iframe,需與以下其他步驟配合。 - 使用 static 的 ARP 綁定
我們從開始功能表執行 cmd 可進入命令列模式,在命令列中輸入 arp -a 可以看到電腦中的 ARP table。類似這樣:「 172.16.0.254 00-30-80-04-3e-01 dynamic」,其中 172.16.0.254 是我的 gateway IP,而 00-30-80-04-3e-01 是我的 gateway MAC address,但若被中毒電腦干擾,這個 MAC address 會變成中毒電腦的網卡。
接下來我們可以下指令 arp -d,就會刪除掉 ARP table 中的內容。
再下指令 arp -s 172.16.0.254 00-30-80-04-3e-01
就可以將 gateway 的 IP 與 MAC 進行 static 綁定。
您也可以將上述 arp -d 與 -s 的過程寫成批次檔,並放到開始功能表「啟動」之中,以便每次開機時自動執行。 - 使用 ARP firewall
網路上找到的資料都是請大家用 ARP 防火牆。(這名詞我倒是第一次聽到。)但所謂的 ARP firewall 不過就是自動進行 arp -d 與 arp -s 的重設動作。所以各位如果手動進行了上一個步驟,就不需要這個東西了。
接下來談一下網管要處理的治本方式:
- 用防火牆封鎖 161816 的整個網域
我把 60.190.*.* 都封鎖起來,避免校內電腦無意中連上該網站。請參考這個網站下方所列的網址,可一併進行封鎖。(該網頁提到 ARPVirus_Clear.exe 我覺得來路不明的東西要執行之前請先三思,各位用 antivir 也是一樣。) - 找出中毒電腦的 MAC address 及 IP
利用 arp -a 找出中毒電腦的 MAC address,再反推出該電腦的真實 IP,並找到本尊進行斷線或掃毒。如果一時沒辦法找到該電腦,可先用防火牆規則阻擋該中毒電腦上網。
因為中毒電腦把自己當成了 gateway,誘導大家經由它連上網路,一旦切斷它的網路之後,網域中的其他正常電腦由於透過它連線,也會同時被斷線。
我只能說,中了這個病毒的網管,您辛苦了。
參考資料:
新型 ARP 變種病毒 161816 & 112161 清除方法
161816.com 中毒經驗
