网吧病毒公告

    近期部分网吧反映频繁断线并且网速较慢，徐州电信经过调查后确认：这种情况是由于一种名为“网吧传奇杀手Trojan.PSW.LMir.qh ” 的病毒爆发引起的。该病毒破解了《传奇2》的加密解密算法，通过截取局域网中的数据包，然后分析《传奇》游戏通讯协议的方法截获用户的信息。运行这个病毒，就可以获得整个局域网中传奇玩家的详细信息，盗取用户帐号信息。

网管论坛bbs_bitsCN_com

解决办法： 网管网www.bitscn.com

    1、由于此类病毒采用arp攻击。因此在病毒发作时，网络管理员可任找一台机器，开启DOS窗口并输入“arp  -a” 命令, 会发现很多不同IP地址有着相同的MAC地址表：
    Interface: 192.168.0.1 on Interface 0x1000004
    Internet Address      Physical Address      Type
    192.168.0.61          00-e0-4c-8c-9a-47     dynamic
    192.168.0.70          00-e0-4c-8c-9a-47     dynamic
    192.168.0.99          00-e0-4c-8c-81-cc     dynamic
    192.168.0.102         00-e0-4c-8c-9a-47     dynamic
    192.168.0.103         00-e0-4c-8c-9a-47     dynamic 中国网管论坛bbs.bitsCN.com
    192.168.0.104         00-e0-4c-8c-9a-47     dynamic

可以断定MAC地址为00-e0-4c-8c-9a-47的机器感染了病毒。然后网络管理员在DOS窗口中输入“ipconfig  /all” 命令，察看每台机器的MAC地址：
Connection-specific DNS Suffix  . :
Description . . . . . . . . . . . : Intel(R) PRO
Physical Address. . . . . . . . . : 0-e0-4c-8c-9a-47
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.186.30.158
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.186.30.1
DNS Servers . . . . . . . . . . . : 61.147.37.1
通过以上步骤定位到染毒的机器，予以隔离处理。

    2、网吧管理员检查局域网病毒，安装杀毒软件（金山毒霸/瑞星，必须要更新病毒代码），对机器进行病毒扫描。

中国网管联盟bitsCN.com

安全建议： 网管论坛bbs_bitsCN_com

    1、给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack) 网管u家u.bitsCN.com

    2、给系统管理员帐户设置足够复杂的强密码，最好能是12位以上，字母+数字+符号的组合 也可以禁用/删除一些不使用的帐户

网管bitscn_com

    3、经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，不妨通过使用网络防火墙等其它方法来做到一定的防护 网管u家u.bitsCN.com

    4、关闭一些不需要的服务，条件允许的可关闭一些没有必要的共享，也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务

    5、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。

网管联盟bitsCN_com