安全實戰錄：從女員工電腦入手挫敗黑金ARP

2007年12月初，就在H集團的IT子公司B召開發佈會的前夕，東方微點卻意外接到了緊急求救電話－－局域網全部癱瘓，所有業務活動被迫陷入了停滯。

電話裡簡單瞭解了一下情況：據B公司網管介紹，該公司數百台業務電腦，兩天來網絡一直時斷時續，剛才更是突然全部癱瘓。通過交流，微點技術人員在排除交換機、路由器等網絡硬體設備故障等因素後，初步斷定為臭名昭著的黑金ARP病毒導致。判斷出症狀，接下來就是如何對症下藥去除病灶了。

新平台不敵ARP欺騙

ARP病毒不論千變萬化，處理原則都是要殺防並舉，既要用雙向綁定MAC地址來防禦ARP欺騙，更要主動出擊將ARP毒源連根拔除。對微點技術人員來說，ARP處理方案早已爛熟於胸，檢查了一下USB隨身碟裡的主動防禦軟體安裝程序，即刻出發。

路上回想了一下近期接到的很多企業的求救，業務部門相對損失小一些，大多都屬於間接損失，網絡通訊中斷，仍然可以用電話傳真等通訊手段勉強維持聯繫溝通；但對於生產車間來說，網絡癱瘓造成的損失會非常大，而且直接損失居多。

到達現場後，B公司領導詢問的問題非常直接也非常現實，一是希望盡快恢復網絡使用，不要影響該公司發佈會工作進度；二是詢問此類網絡病毒是否會被黑客利用竊取公司重要文件，是否存在洩密？當然，我們非常理解用戶的心情，但是技術問題來不得半點虛假，我們需要對情況進行具體摸底調查後才能明確回答B公司領導的問題。

經與B公司網管溝通後得知，該公司剛剛遷到新址，辦公區數千平方米，辦公用機數百台，台式機、筆記本、工作站、伺服器設備種類繁多，依照業務種類共分為兩層，並且隨著員工陸續報道，數量還在持續增加。

剛剛搭建的新平台就被突然襲來的ARP病毒打個措手不及，全網癱瘓。B公司網管使用一些網絡工具業已初步確認局域網內有大量的ARP欺騙資料包，也在積極採取措施，將全網斷開，並著手利用三層交換機劃分VLAN，試圖用子網來避免ARP病毒對全網的影響。B公司在防病毒方面既沒有部署統一的安全防護軟體，也沒有做具體規劃，任由員工隨意安裝。只是在近兩天出事以後，強行統一安裝了一批殺毒軟體和防火牆，但是收效甚微。

瞭解了基本情況後，下面要做的就是實地查看細節以落實具體解決方案。

女員工電腦是高危區

環顧了一下辦公區，逕直走向了女員工最密集的區域。不要想歪了，這可是多次現場摸索出來的獨家經驗－－女職員較多的部門往往是病毒的重災區。

果不其然在B公司財務部隨便找了一台電腦做樣例，安裝微點主動防禦軟體，重啟後即幹掉了黑金ARP和著名的灰鴿子木馬以及多種網游盜號木馬。B公司領導的兩個問題在這裡都找到了答案，第一，網絡癱瘓確為黑金ARP病毒導致，確認了原因我們就有把握在短時間內解決好病毒的問題；第二，盜號木馬對公司企業的影響不大，但是灰鴿子之類遠程控制木馬的現身，表明該公司確實存在有重要文件外洩的可能。當然，具體的病毒清除過程絕不會是一帆風順，數百台計算機的複雜環境，中間也出了一些小插曲。

女員工的電腦是病毒、惡意插件的高危區。一位女員工的電腦真的是太「繽紛多彩」了，病毒、木馬和插件的種類多得令人實在歎為觀止！對於病毒木馬，主動防禦軟體會自動處理並向用戶報警告知。插件的清理方法很簡單，切換到主動防禦軟體的系統自啟動信息項目，右鍵隱藏已知的啟動信息，用右鍵菜單將插件一個一個送入回收站即可。

說實話，真服了這位女士了。她的電腦出現問題已經好幾個月了，Windows登錄時從輸入用戶名密碼到進入桌面需要忍耐10多分鐘，她仍然還能耐心湊合著用。這個問題看似很棘手，似乎無從下手。但是，其實大家都能猜到問題多半是由於某個進程陷入死循環導致，只是苦於找不到具體的進程。

解決的方法很簡單，切換到主動防禦軟體的進程啟動日誌項目，一眼就能看到啟動過程中有一個異常現象，即有兩個進程間的啟動時間居然相差了10分鐘以上。顯然病因就在於前一個進程陷入了死循環，根據路徑找到了這個程序，原來是某網絡安全服務提供商的企業版客戶端，將其卸載後，問題徹底解決。

某殺毒軟體每次啟動系統都報毒，但是怎麼也殺不掉，這也是一種典型情況，為了便於理解可以形象地稱之為子母型木馬，即木馬母體X．exe運行後生成子木馬Y．exe並保護Y．exe不被清除。由於該殺毒軟體依靠病毒庫僅能查出子木馬Y．exe，而查不出木馬母體X．exe，所以很必然就導致了這個現象：反覆報警子木馬Y．exe，但就是無法將其清除，因為子木馬Y．exe處於木馬母體X．exe保護中。

解決的方法很簡單，只要把木馬母體X．exe和子木馬Y．exe一併幹掉，事情就OK了。為了向用戶展示具體的效果，暫時關閉該殺毒軟體監控，安裝主動防禦軟體並重啟，主動防禦技術自動分析木馬程序行為以及木馬程序之間的邏輯關係，依次將子木馬Y．exe和其生成者木馬母體X．exe順利報出，重啟後病毒被徹底幹掉。

H集團的所有員工均非常配合網管人員和反病毒專家的工作。在B公司員工的配合下，幾個小時就完成了主動防禦軟體的全網部署工作，黑金ARP病毒清除工作業已同步完成。

(