今天中标，网吧机器出现部分机器无法上网的问题，具体表现为，部分机器掉线，掉线机器无法PING通路由，ARP -D命令后，可以PING通路由，但是最多PING到4个包后又断开！在掉线的机器上使用ARP -A列表MAC地址，发现有多个MAC地址被列出，且这些地址和IP的对应关系（包括网关）是正确的！此时首先想到，有可能就是出现在列表中的对应机器在作怪，于是检查了其中一台机器，发现果然该机器中了威金病毒，所有非系统盘的可执行程序文件的图标都没了...，系统进程中除LOGO—1.EXE还有有一个SYSTEMT.EXE的进程，远程查看了其它几台出现在列表中的机器也都有同样的进程和中毒表现，把这几台机器关闭后，整个网络恢复正常！

领教了该病毒的厉害，特意提取了该病毒的样本，弄了几台^^机器组了个实验网络，运行样本后，发现这个ARP欺骗的方式和以前的不同处在于，该病毒是将自己的MAC伪造给其它客户机而不是伪造网关的MAC来欺骗其它机器，所以才出现客户机被欺骗后，本地查看MAC地址是正常的，但是如果在代理机器上查看的话，会发现很多IP地址的MAC地址完全想同，这样一来，主机发送给客户机的数据包无法到达正确的地址，客户机就掉线了.........（因为网吧使用的路由，没有MAC地址绑定功能，也不象代理服务器一样很方便的能列出MAC地址列表来查看，才导致掉线），发现了这一点，基本就比较容易解决问题了，只要正确的做好双绑，特别是路由（代理服务器）一定要绑客户机器的MAC，就能防止掉线，我自己的做法是暂时用一台2003系统的机器做了个NAT，然后绑定所有客户机的MAC，就没再出现掉线的问题了，即使我在下面的客户机上故意运行病毒样本将近1小时也没掉线，估计今天晚上能睡的安稳了！

虽然掉线的问题暂时解决了，不过这个该死的威金变种却着实厉害，在内网传播很快，我用的系统全部都是SP2，补丁一直打到06年12月份，关闭了SERVER服务和管理共享，病毒依然横行霸道......，不过奇怪的是2000系统和2003似乎没出现问题！无奈之下，我试着把其中20台机器的补丁一直打到了07年3月（用360的漏洞检查自动下载安装的），同时关闭了下载防止病毒被客人手动下载到本地，明天下午去看看，不还原分区的文件还会不会被感染，希望老天保佑能有用！

总的来说，正确的双向绑定就能对付目前的这个所谓ARP2007，（正确的绑定方法是客户机绑路由，路由也要绑客户机，而不是你绑了几个IP，这个也许是我废话）达到不掉线的目的！但是真正难对付的是这个该死的VKING.....，有人说它能穿透还原，我没发现，至少它穿透不了冰点6.0，我做测试就是给系统装了DF6全盘保护的，只要REST后机器干净了！

若对系统操作不熟练，无法实施手工清除，可以下载方舟广谱病毒疫苗，运行arksafe1.bat后，按1键即可清除。若此病毒变种，可以按9在线升级病毒库，若病毒库也不没有此病毒名，可以参考方舟广谱病毒疫苗中的说明readme.txt，自定义加入病毒名。并给本站留言，我们将及时升级病毒包。

方舟广谱病毒疫苗下载地址：/view-398.html