【IT168 专稿】近期，一种ARP病毒在网络上逐步蔓延，导致局域网对互联网的访问不正常，并且该病毒还会通过局域网进行传播，波及范围广。由于是通过局域网传播，交叉传播互相干扰，所以一但中毒就很难根除，用户的正常使用受到了极大的影响，传统的杀毒软件很难发挥作用，如何彻底防控该病毒对网络用户来讲意义重大。它的传播方式和发作形式让各大杀毒软件厂商共取其名“小偷软件”。
　　
    小偷软件的中毒特征
    “小偷软件”又称9166.biz.arp是一种ARP欺骗类的病毒变种，中毒后用户网络会出现突然掉线的情况，网络健康状况极不稳定，甚至会导致网络瘫痪的情况发生，同时还会不停的跳出9166.biz,5y5.us等网站，之后用户电脑还会被安装若干木马程序，多为现下比较热门的游戏盗号木马，后期还会对网内其它电脑系统进行感染，利用ARP欺骗和劫持DNS的方式传播病毒，在网络形成一个恶性循环，交叉感染，病毒清理难度大，影响面广。
　　
    病毒发作流程
    整个病毒前期的危害不大，很明显病毒作者主要利用的是用户警惕性不高的情况，劫持dns将用户访问域名指向陷阱网站以达到传播的目的。病毒主要分一下几个阶段：
    第一阶段、中毒个体计算机出现乱弹9166.biz和5y5.us网站的情况，同时整个网络会出现掉线的情况出现，网络传输质量降低。
    第二阶段、中毒个体计算机将在用户不知情的情况下被病毒程序下载梦幻、征途、武林、奇迹世界、传奇世界、完美国际、风云、魔兽、江湖、QQ幻想等多款热门网络游戏的木马，这些木马将潜伏在用户电脑中，伺机偷窃用户帐号。
    第三阶段、当感染个体计算机并在该计算机中完成了以上的任务后，病毒开始利用ARP欺骗劫持网内其他计算机的访问请求，将域名指向到陷阱网页，导致其他计算机将病毒下载并安装。
    第四阶段、感染的计算机形成一个群体，加大对其他计算机的破坏，导致整个网络被完全感染，即使用户发现也很难清除。网络影响进一步扩大，网络瘫痪的情况逐步突显。

    小偷软件的处理
    该病毒在第一时间被奇虎360安全卫士拦截，并迅速推出专杀工具，在前期可以及时清除病毒，一旦在网络内扩散就很难处理，反复交叉感染导致病毒杀不绝，清理不干净，不彻底。

    一、中毒初期的清理
    前期的清理相当简单，可以通过下载运行奇虎360安全卫士的“小偷软件”专杀程序进行病毒清理。

（如图一　Arp病毒专杀）

    二、扩散后的处理
    前面已经提到了，该病毒通过ARP欺骗的方式劫持用户浏览其陷阱网页，导致其他计算机交叉感染，使情况复杂化，问题严重化，要想彻底清除该病毒就要用防ARP欺骗和病毒专杀程序使用才能彻底解决问题。

    1、建立双向arp绑定，清除病毒非法ARP欺骗的影响，以避免病毒的交叉感染和传播。通过运行CMD命令，用arp -s 服务器IP 服务器MAC地址（arp -s 192.168.0.1 00-E0-FC-1A-D4-16）的方式在本机将服务器和服务器MAC地址进行捆绑，可以防止病毒的arp欺骗。为了保证安全和有效性，在服务器端建立批处理文件对网络内客户端进行批处理，每次系统启动时就进行一次捆绑。
    附批处理文件命令范本：
    客户机端的批处理命令
    @echo off
    arp -d
    arp -s　服务器IP 服务器MAC

    服务器端的批处理命令
    @echo off
    arp -d
    arp -s　客户1IP 客户1MAC
    arp -s　客户2IP 客户2MAC
    …………
    arp -s　客户NIP 客户NMAC

    2、在完成上述工作后，利用专杀工具在全网内计算机运行，清除该病毒。专杀工具我们在上文已经介绍了，这里就不多做说明了，请参照上文说明运行即可。
总的来说，该病毒的出现虽然对我们的生活带了极大的影响，但是也在提醒广大用户，安全使用网络的习惯非常重要，如何形成一个良好的习惯至关重要。针对该病毒的出现，建议管理员和用户共同养成一个良好的习惯：

    1、对病毒源头的机器进行处理，杀毒或重新装系统。
    2、管理员检查局域网病毒，安装杀毒软件，最好使用网络版杀毒软件，方便网络维护和网络统计。
    3、给系统安装好最新的补丁程序。
    4、给系统管理员帐户设置足够复杂的强密码。
    5、经常更新杀毒软件，安装并使用网络防火墙软件。
    6、关闭一些不需要的服务，关闭没有必要的共享。
    7、不要随便打开QQ、MSN等聊天工具上发来的链接信息，以免病毒的传播。