在企业网络维护过程中，病毒是最让网络管理员头疼的敌人，特别是在现今病毒更趋向于网络化发展的情况下，查杀网络病毒的任务将变得更加艰巨。很多时候企业网络中有一台计算机感染了病毒，他会影响到包括服务器在内所有网络设备的正常上网。最近笔者就深深陷入Downloader木马的圈套中，下面就将整个查杀步骤和过程全盘托出，希望对各位IT168的读者有所帮助。

一，病毒爆发：

笔者负责维护区级核心层网络设备，然而最近来自下属一个部门的网络求救电话越来越多，经过笔者了解具体症状如下——该部门各个计算机由交换机连接到一起，总共有80台员工计算机。出现问题时有些计算机无法访问企业的内部网站和邮件系统，而同一时间该部门的有些计算机又可以顺利访问，笔者又咨询了其他分支机构，员工并没有出现任务访问故障问题。

然而于此同时还有一种奇怪的现象，那就是出问题的员工计算机并不是一直无法正常使用，过几个小时后就又一切正常了。而且出现问题时只是内部服务器上的应用服务无法浏览，像sohu搜狐，新浪，IT168等大型门户网站还是可以顺利访问的。

二，初步排查：

首先针对服务器进行检测，由于不可能同时所有服务器都出现问题，而且其他分支机构，包括笔者用自己的机器测试都没有任何问题。所以初步排除了因为企业内部服务器故障造成的网络问题。这样就将怀疑的重点放到了分支机构的网络中。由于出问题的计算机并不是只有一两台，而且出问题计算机存在不确定性，即今天这台出问题，明天那台又出问题了。这让笔者不得不将怀疑的重点放到了病毒身上。

为了确定笔者的判断在一台计算机上安装了卡巴斯基最新版并升级了病毒库，当用浏览器访问网页时卡巴斯基提示有病毒，这种问题不光是在访问内部服务器上的应用时出现，访问IT168，搜狐以及百度这些在之前看似正常的网站时也会出现这种病毒警报。病毒警报提示当前页面存在trojan program trojan-downloader.js.psyme.kf病毒，这是一种木马病毒。(如图1)

　　图1

那么为什么这些好好的页面会出现病毒提示信息呢?我们总不能怀疑IT168和百度都被别人挂了木马，而且用其他网段的计算机访问并不会出现报警现象。那么答案只有一个——感染了病毒，根据笔者经验以及在网上查询得知，这就是目前流行的ARP欺骗病毒。笔者再次访问企业内部服务，得到的提示是一样的，看来所有问题和故障都是由这个trojan program trojan-downloader.js.psyme.kf病毒带来的。(如图2)

图2

为了进一步验证笔者的猜想，本人通过在企业内部应用服务器上点右键选择源代码，结果不看不知道一看吓一跳，在出现问题无法顺利访问企业应用服务器时原来是首页被人加上了一行名为 的脚本程序，看来这个就是造成企业服务无法顺利访问以及ARP病毒广泛流传的根源了。(如图3)

三，深入检测解决问题：

一般来说ARP欺骗病毒都是不停的发送ARP广播报，告诉网络中的所有计算机网关地址对应的MAC是感染ARP欺骗病毒计算机的MAC地址，这样所有机器上网时都会将数据请求发送到出问题的计算机。通过这一系列的步骤感染病毒的计算机可以进行数据欺骗，病毒传播等目的。

既然知道了本次故障的罪魁祸首有可能是ARP欺骗，那么网络中一定有一台感染了病毒的机器再捣乱，为了找到这台机器笔者进行了如下的检测操作。

第一步：首先在通过开始->运行，输入CMD进入到命令提示窗口，在该窗口中通过ipconfig命令查看当前IP，网关等信息，明确这些地址，特别是网关为10.82.5.254。(如图4)

　　图4

第二步：打开网络管理员专用的sniffer工具，检测本地网络中的数据包，可以设置为只扫描和监控出问题计算机的流量，通过sniffer绘制出的流量图我们可以看出本机和哪个机器进行了数据通讯。(如图5)

　　图5

第三步：由于卡巴斯基提示病毒只是在访问办公系统时出现，所以我们边开着Sniffer，边用IE浏览器访问办公系统，当卡巴斯基报警时相应的非法流量也会显示在sniffer的流量图中，使用时注意观察即可，当有数据传输时线条是显示为闪亮状态的。(如图6)

　　图6

第四步：再次来到出问题计算机的命令提示窗口，通过arp -a命令来查看本机ARP缓存信息表，从图中我们可以看出本机网关对应的IP为10.82.5.254，相应的MAC信息是50-78-4c-68-8e-34。当然这个应该是错误的，否则本机也不会出现网络访问故障。(如图7)

　　图7

第五步：之后笔者又换了另外一个类sniffer工具——大名鼎鼎的wireshark，他是ethreal的后续版本。通过该软件扫描当前网络中出现的所有数据流量，当然监控最好选择交换机对应的镜像端口，如果没有条件用普通计算机的普通端口也行。通过该软件我们可以清晰的看到网络中数据包流量的异常，总是有一个MAC地址是50-78-4c-68-8e-34的计算机在向网络发送无数数据包，告诉每台在线的机器10.82.5.254对应的MAC地址是50-78-4c-68-8e-34。(如图8)

　　图8

第六步：看来ARP欺骗还是非常严重的，所以笔者使用arp -s来绑定MAC地址和IP地址的对应关系，由于网络中还有好的计算机，所以笔者可以知道10.82.5.254对应的正确MAC地址是00-0b-46-53-d0-80。因此执行arp -s 10.82.5.254 00-0b-46-53-d0-80命令进行绑定，执行arp -a查看ARP缓存表也可以看到这种对应不再变化成错误的，问题解决。(如图9)

　　图9

第七步：不过由于带毒机器还会向网络发送多个数据包，影响其他计算机上网，所以还需要将其彻底根除。登录到连接这个网段的交换机上执行MAC地址查看命令，sh mac address。发现这个捣乱的50-78-4c-68-8e-34计算机实际是连接在Fa0/45接口上。(如图10)

　　图10

第八步：将该接口shutdown关闭或者执行MAC过滤访问控制列表ACL后问题解决，执行arp -a不会再发现错误MAC地址的身影。(如图11)

　　图11

四，总结：

ARP欺骗病毒可以说是目前网络特别是企业内部网络最让网络管理员头疼的问题之一了，本文从分析到解决比较全面的介绍了查杀ARP欺骗病毒的全过程，希望可以帮助各位IT168的读者轻松面对同类病毒，让企业网络更加安全顺畅的运行。