传奇杀手病毒，是专门为了盗窃传奇帐号和密码而开发的一种木马软件，通过对局域网进行ARP欺骗，虚拟网吧网关地址以收集局域网中传奇游戏登陆信息并进行分析，从而得到用户信息的破坏性木马软件。

    传奇杀手木马程序的出现，使很多网吧用户受到了攻击，有一些用户在安装有传奇多面手木马程序的网吧运行传奇程序，结果帐号和密码被盗，网吧老板为此不得不赔偿用户的经济损失。盛大密保虽然可以解决帐号和密码被盗的难题，但一些用户不愿意增加成本来保护自己帐号和密码的安全。因此，传奇杀手木马程序成为令网吧维护人员头疼的一大技术难题。

    想要监控传奇杀手木马程序，必须先搞清楚它的工作流程。首先，它将安装了传奇杀手机器的MAC通过ARP欺骗广播至局域网，使局域网中的工作站误认为本机是网络的网关。该流程会造成局域网与Internet连接中断，使游戏与服务器断开连接。当用户重新启动游戏并进行帐号登陆时，帐户信息并不会直接通过网关传递到代理服务器，而是把信息传送到正在进行ARP欺骗的传奇杀手软件中。传奇杀手自身有对传奇帐号的解密手段，从而可以轻松获得该帐户的真实用户名及密码，达到窃取玩家帐号的目的。由此可以看出，使用网络执法官并配合ARP命令，对传奇木马有一定的预防作用。

    在没有网络执法官的情况下，可以使用ARP命令检查网络中是否有人使用传奇杀手木马程序。根据传奇杀手木马的原理，传奇杀手是制造虚假的网关IP地址和MAC地址，因此在客户机上使用ARP -a命令查看，如果有重复的MAC地址，则可以断定网络中有人使用传奇杀手木马程序。要想查到在哪一台机器上安装了传奇杀手木马，可以使用Ipbook类似的工具，查看当前网络中所有机器的MAC地址，并加以对比。由于运行传奇杀手木马程序的机器IP地址被更改，只能通过查询机器的MAC地址找到该机器，找到该机器后，将机器重新启动，再查找传奇杀手程序并删除就可以了。

    如果用网络执法官就容易多了，其预防封杀传奇杀手方案如下：

    1、传奇杀手与网络执法官的工作原理比较

    细心的网管不难发现，网络执法官的工作原理与传奇杀手的工作原理相比，在某些方面是极为相似的。网络执法官在对网络中的机器进行管理时，运行网络执法的机器，通过ARP欺骗发给被管理的电脑一个假的网关IP地址及对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止机器上网。对于传奇杀手木马程序，当此程序工作时，也是通过安装此程序的机器发ARP欺骗给网络中的机器，ARP的欺骗信息也是一个虚假的网关IP及对应的MAC地址。

    由此可以发现，网络执法官与传奇杀手木马程序的工作原理是基本相同的。如果在同一个网络中，分别在两台机器上安装了网络执法官程序，由于网络执法官的工作在混杂模式下，同时启动后，通过任何一台机器的网络执法官程序都可以看到，网络中有两台机器处于混杂模式下工作。这样，可以通过网络执法官程序看到另外一台安装有网络执法官程序机器的MAC地址，从而轻松找到另外一台安装有网络执法官程序的机器。

    2、彻底封杀传奇杀手木马程序

    根据传奇杀手木马程序工作原理，传奇杀手也是向网络广播虚假的网关地址及MAC地址消息，这是否意味着，当在有传奇杀手程序工作的网络中安装网络执法官程序后，可以看到有两台机器也是处在网络混杂模式下？经过小片的实验证实，传奇杀手木马程序与网络执法官程序的工作原理是一致的。只要网络中有传奇杀手程序在运行，就可以通过网络执法官程序来监控。

    为彻底封杀传奇杀手木马程序，有效保证用户传奇帐号和密码的安全。可以在网吧收银机端安装网络执法官程序，并且按照上文的叙述设置智能监控。当网络执法官监控程序发现网络中有传奇杀手木马程序工作时，会自动发生声音警报，以此来警告来上网的用户。这样技术人员就可以在第一时间内发现传奇杀手木马程序，然后用最快的时间关闭传奇杀手程序.