【IT168 专稿】近期，一种ARP病毒在网络上逐步蔓延，导致局域网对互联网的访问不正常，并且该病毒还会通过局域网进行传播，波及范围广。由于是通过局域网传播，交叉传播互相干扰，所以一但中毒就很难根除，用户的正常使用受到了极大的影响，传统的杀毒软件很难发挥作用，如何彻底防控该病毒对网络用户来讲意义重大。它的传播方式和发作形式让各大杀毒软件厂商共取其名“小偷软件”。
　　
    小偷软件的中毒特征
    “小偷软件”又称9166.biz.arp是一种ARP欺骗类的病毒变种，中毒后用户网络会出现突然掉线的情况，网络健康状况极不稳定，甚至会导致网络瘫痪的情况发生，同时还会不停的跳出9166.biz,5y5.us等网站，之后用户电脑还会被安装若干木马程序，多为现下比较热门的游戏盗号木马，后期还会对网内其它电脑系统进行感染，利用ARP欺骗和劫持DNS的方式传播病毒，在网络形成一个恶性循环，交叉感染，病毒清理难度大，影响面广。
　　
    病毒发作流程
    整个病毒前期的危害不大，很明显病毒作者主要利用的是用户警惕性不高的情况，劫持dns将用户访问域名指向陷阱网站以达到传播的目的。病毒主要分一下几个阶段：
    第一阶段、中毒个体计算机出现乱弹9166.biz和5y5.us网站的情况，同时整个网络会出现掉线的情况出现，网络传输质量降低。
    第二阶段、中毒个体计算机将在用户不知情的情况下被病毒程序下载梦幻、征途、武林、奇迹世界、传奇世界、完美国际、风云、魔兽、江湖、QQ幻想等多款热门网络游戏的木马，这些木马将潜伏在用户电脑中，伺机偷窃用户帐号。
    第三阶段、当感染个体计算机并在该计算机中完成了以上的任务后，病毒开始利用ARP欺骗劫持网内其他计算机的访问请求，将域名指向到陷阱网页，导致其他计算机将病毒下载并安装。
    第四阶段、感染的计算机形成一个群体，加大对其他计算机的破坏，导致整个网络被完全感染，即使用户发现也很难清除。网络影响进一步扩大，网络瘫痪的情况逐步突显。

    小偷软件的处理
    该病毒在第一时间被奇虎360安全卫士拦截，并迅速推出专杀工具，在前期可以及时清除病毒，一旦在网络内扩散就很难处理，反复交叉感染导致病毒杀不绝，清理不干净，不彻底。

    一、中毒初期的清理
    前期的清理相当简单，可以通过下载运行奇虎360安全卫士的“小偷软件”专杀程序进行病毒清理。

（如图一　Arp病毒专杀）