从女员工电脑入手 挫败黑金ARP

　　2007年12月初，就在H集团的IT子公司B召开发布会的前夕，东方微点却意外接到了紧急求救电话——局域网全部瘫痪，所有业务活动被迫陷入了停滞。

　　电话里简单了解了一下情况：据B公司网管介绍，该公司数百台业务电脑，两天来网络一直时断时续，刚才更是突然全部瘫痪。通过交流，微点技术人员在排除交换机、路由器等网络硬件设备故障等因素后，初步断定为臭名昭著的黑金ARP病毒导致。判断出症状，接下来就是如何对症下药去除病灶了。

　　新平台不敌ARP欺骗

　　ARP病毒不论千变万化，处理原则都是要杀防并举，既要用双向绑定MAC地址来防御ARP欺骗，更要主动出击将ARP毒源连根拔除。对微点技术人员来说，ARP处理方案早已烂熟于胸，检查了一下U盘里的主动防御软件安装程序，即刻出发。

　　路上回想了一下近期接到的很多企业的求救，业务部门相对损失小一些，大多都属于间接损失，网络通讯中断，仍然可以用电话传真等通讯手段勉强维持联系沟通;但对于生产车间来说，网络瘫痪造成的损失会非常大，而且直接损失居多。

　　到达现场后，B公司领导询问的问题非常直接也非常现实，一是希望尽快恢复网络使用，不要影响该公司发布会工作进度;二是询问此类网络病毒是否会被黑客利用窃取公司重要文件，是否存在泄密?当然，我们非常理解用户的心情，但是技术问题来不得半点虚假，我们需要对情况进行具体摸底调查后才能明确回答B公司领导的问题。

　　经与B公司网管沟通后得知，该公司刚刚迁到新址，办公区数千平方米，办公用机数百台，台式机、笔记本、工作站、服务器设备种类繁多，依照业务种类共分为两层，并且随着员工陆续报道，数量还在持续增加。

　　刚刚搭建的新平台就被突然袭来的ARP病毒打个措手不及，全网瘫痪。B公司网管使用一些网络工具业已初步确认局域网内有大量的ARP欺骗数据包，也在积极采取措施，将全网断开，并着手利用三层交换机划分VLAN，试图用子网来避免ARP病毒对全网的影响。B公司在防病毒方面既没有部署统一的安全防护软件，也没有做具体规划，任由员工随意安装。只是在近两天出事以后，强行统一安装了一批杀毒软件和防火墙，但是收效甚微。

　　了解了基本情况后，下面要做的就是实地查看细节以落实具体解决方案。

　　女员工电脑是高危区

　　环顾了一下办公区，径直走向了女员工最密集的区域。不要想歪了，这可是多次现场摸索出来的独家经验——女职员较多的部门往往是病毒的重灾区。

　　果不其然在B公司财务部随便找了一台电脑做样例，安装微点主动防御软件，重启后即干掉了黑金ARP和著名的灰鸽子木马以及多种网游盗号木马。B公司领导的两个问题在这里都找到了答案，第一，网络瘫痪确为黑金ARP病毒导致，确认了原因我们就有把握在短时间内解决好病毒的问题;第二，盗号木马对公司企业的影响不大，但是灰鸽子之类远程控制木马的现身，表明该公司确实存在有重要文件外泄的可能。当然，具体的病毒清除过程绝不会是一帆风顺，数百台计算机的复杂环境，中间也出了一些小插曲。

　　女员工的电脑是病毒、恶意插件的高危区。一位女员工的电脑真的是太“缤纷多彩”了，病毒、木马和插件的种类多得令人实在叹为观止!对于病毒木马，主动防御软件会自动处理并向用户报警告知。插件的清理方法很简单，切换到主动防御软件的系统自启动信息项目，右键隐藏已知的启动信息，用右键菜单将插件一个一个送入回收站即可。

　　说实话，真服了这位女士了。她的电脑出现问题已经好几个月了，Windows登录时从输入用户名密码到进入桌面需要忍耐10多分钟，她仍然还能耐心凑合着用。这个问题看似很棘手，似乎无从下手。但是，其实大家都能猜到问题多半是由于某个进程陷入死循环导致，只是苦于找不到具体的进程。

　　解决的方法很简单，切换到主动防御软件的进程启动日志项目，一眼就能看到启动过程中有一个异常现象，即有两个进程间的启动时间居然相差了10分钟以上。显然病因就在于前一个进程陷入了死循环，根据路径找到了这个程序，原来是某网络安全服务提供商的企业版客户端，将其卸载后，问题彻底解决。

　　某杀毒软件每次启动系统都报毒，但是怎么也杀不掉，这也是一种典型情况，为了便于理解可以形象地称之为子母型木马，即木马母体X.exe运行后生成子木马Y.exe并保护Y.exe不被清除。由于该杀毒软件依靠病毒库仅能查出子木马Y.exe，而查不出木马母体X.exe，所以很必然就导致了这个现象：反复报警子木马Y.exe，但就是无法将其清除，因为子木马Y.exe处于木马母体X.exe保护中。

　　解决的方法很简单，只要把木马母体X.exe和子木马Y.exe一并干掉，事情就OK了。为了向用户展示具体的效果，暂时关闭该杀毒软件监控，安装主动防御软件并重启，主动防御技术自动分析木马程序行为以及木马程序之间的逻辑关系，依次将子木马Y.exe和其生成者木马母体X.exe顺利报出，重启后病毒被彻底干掉。

　　H集团的所有员工均非常配合网管人员和反病毒专家的工作。在B公司员工的配合下，几个小时就完成了主动防御软件的全网部署工作，黑金ARP病毒清除工作业已同步完成。

B公司网络的基础结构