近期，一种新的“ARP欺骗”木马病毒在互联网上扩散，我校校内家属区、教学区已多次发现机器感染此病毒，表现为用户频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题。目前，已知传奇游戏的“传奇 2 冰橙子 1.14 ”和“及时雨 PK 破解版”两种外挂存在着这种木马。

一、判断本机是否感染该病毒：

中毒的机器会运行一个名为“MIR0.dat”的进程，用户可通过察看任务管理器中的进程信息来判断本机是否感染该病毒。

同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。如果有“MIR0.dat”，则说明已经中毒。右键点击此进程后选择“结束进程”。参见图一。

注意：这是中毒后的一个症状，可能还会有其他变种，请用户一定要升级杀毒软件的病毒库后，再全面查杀病毒。

二、解决方法：

1、Windows用户可通过在命令行方式（开始” - “程序” - “附件”菜单下调出“命令提示符”）下执行“arp –s 网关IP 网关MAC地址”命令来减轻中毒计算机对本机的影响。网关IP和MAC地址可在网络工作正常时通过命令行方式下的“arp –a”命令来得到。同时请及时下载Anti ARP Sniffer软件保护本地计算机正常运行（此软件的用法及下载见附录一）。

2、避免类似网络安全问题的根本解决办法是定期更新操作系统和安装防病毒软件。系统未及时更新的用户请下载系统补丁。

附录一 Anti Arp Sniffer 的用法

用解压缩工具解压软件包，双击Anti Arp.Exe出现图二所示对话框。（注：该软件在你每次开机时要手动进行启动）

操作步骤：

1、输入网关地址（网关地址获取方式：[开始] -->[程序]--> [附件]菜单下调出“命令提示符”，输入ipconfig，其中Default Gateway即为网关地址）；

2、点击“获取网关MAC地址”，点击“自动防护”保证当前网卡与网关的通信不被第三方监听。

3、点击“恢复默认”，然后点击“防止地址冲突”，如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包。

4、点击“最小化至托盘”，软件最小化在电脑桌面右下角。

右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果成功将不再会显示地址冲突。以后请用户开机的时候就先打开此软件，然后再进行其他网络访问，就可以有效抵御arp欺骗病毒的攻击，不会出现断断续续的现象。

注：如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡；本软件不支持多网卡，部分网卡可能更改MAC会无效。