注意防范新型ARP病毒——“克邻大盗”

下载“克邻大盗”专杀工具
趋势科技6月8日发布中国区中度风险病毒警报，目前有一种名为“克邻大盗”（PE_CORELINK.C-O）的恶性病毒正在互联网快速蔓延，目前趋势科技上海MOC监测中心已接到来自大中型企业用户的10余起求助，主要造成他们的网络系统瘫痪。趋势科技自5月31日接到第一个用户求助后，至今“克邻大盗”病毒以迅猛之势波及全国了近10万台电脑。趋势科技专家提醒广大电脑用户：“克邻大盗”病毒来势汹汹不可小觑，谨防又一个“熊猫烧香”的出现。

根据趋势科技病毒专家分析，“克邻大盗”病毒充分体现了病毒作者受利益驱使编写病毒的动机，同时更进一步体现了新技术新手法在病毒编写中的应用。据分析，该病毒的制作目的是为了窃取或是盗取用户的在线信息帐号，在这一目的驱使下使用ARP地址转换协议欺骗的技术，以获取更多的经济利益。病毒在自身的隐藏和传播上整合了多种技术，如使用rootkit技术隐藏自身的存在，利用网络共享中存在的缺陷通过网络传播，通过感染其他的文件造成病毒清除的复杂性。

用户中毒之后会自动到一个恶意网站去下载一个恶意软件，而最终导致局域网络的瘫痪。趋势科技建议用户建置HTTP网关防毒系统IWSS 和 IWSA ，趋势科技的 IntelliTrap 技术可以有效检测恶意程序变种，可以在网关处对客户上网行为进行规范;管理员可以通过制定策略，禁止感染病毒的PC 访问恶意站点。

　　“克邻大盗”病毒主要通过U盘（或移动硬盘）、共享文件、感染可执行程序三种途径进行传播。当局域网中的一台电脑受到“克邻大盗”病毒攻击后，其邻近计算机逐渐被植入恶意木马程序，最终导致局域网中用户计算机系统全部受感染，导致该局域网出现突然掉线甚至系统瘫痪。该病毒主要使用下载的其他恶意病毒程序发动“ARP 欺骗”，试图通过这种手段截获或篡改所在局域网络内其它计算机系统的信息。

　　趋势科技专家防护建议：

　　针对上述病毒传播情况，趋势科技建议广大计算机用户可采取如下方法进行防范：

　　1、阻止优盘文件的自启动：

　　a) 使用注册表编辑器定位键值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

　　b) 右键点击上述键值选择属性

　　c) 在安全选项页中点击高级按钮，然后去勾选对话框中的继承复选框，在弹出对话框中选择移除，再点击确定关闭对话框

　　2、 加强本机的口令设置以阻止病毒通过弱口令传播

　　3、 阻止如下的url的访问：

　　cn3721.org

　　rm510.com

　　http://tj.imrw0rldwide.com/co.asp

　　4、 使用opp或者windows的权限管理阻止如下文件的写入

　　a) windows安装目录：linkinfo.dll，winnetmanager.exe以及任意的bmp文件

　　b) drivers目录：nvmini.sys，arp8023.sys