近期网络中ARP病毒流行,对同一局域网内的其他用户造成了较大的影响。此病毒为木马病毒附带的一种欺骗病毒，这些计算机病毒一般都是利用ARP协议的漏洞进行危害活动。 

被攻击的电脑现象 

被欺骗电脑的典型症状是刚开机能上网，几分钟之后断网，过一会又能上网，或者重启一遍电脑就可以上网，一会又不好了，如此不断重复，造成校园网的不稳定，影响正常使用。重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。 

ARP病毒原理 

电脑中毒后会向同网段内所有计算机发ARP欺骗包，从而致使同一网段地址内的其它机器误将其作为网关，导致网络内其它电脑因网关物理地址被更改而无法上网，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。 

ARP病毒手动处理方法 

步骤一. 在能上网时，进入MS-DOS窗口，输入命令：arp –a，查看网关IP对应的正确MAC地址，将其记录下来。

步骤二. 如果已经有网关的正确MAC地址，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令：arp –s 网关IP 网关MAC 

例如：假设计算机所处网段的网关为211.83.0.1，本机地址为211.83.0.5在计算机上运行arp –a后输出如下： 

C:Documents and Settings>arp -a 

　　　Interface: 211.83.0.5 --- 0x2 

　　　Internet Address Physical Address Type 

　　　211.83.0.1 00-01-02-03-04-05 dynamic 

其中00-01-02-03-04-05就是网关211.83.0.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。 

被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。 

手工绑定的命令为：arp –s 211.83.0.1 00-01-02-03-04-05 

这时，类型变为静态（static），就不会再受攻击影响了。 

但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。 

ARP病毒专杀，防御工具下载 

1、专杀工具：(ARP)TSC.exe

2、主动防御工具：AntiArp.rar

3、XP补丁：arpxp.rar