网吧传奇杀手病毒

网吧传奇杀手病毒预防方案（网吧集体掉线问题之解决方案之一）

网吧传奇杀手病毒预防方案
　　“网吧传奇杀手”木马病毒的出现，网吧行业无疑又经历了一次严重的打击和技术挑战。最近几个月来，很多网吧开始出现同一类似的网络故障，网吧正常营业时突然掉线，经过短暂的网络中断后网络自动恢复正常。此后，便有传奇、传奇世界的玩家开始大嚷，自己的帐号和密码被盗了。
　　
　　以上症状，便是“网吧传奇杀手”木马病毒发作的典型特征。当此病毒在网吧发作后，许多网吧技术人员束手无策。因此，很多网管和网吧老板们，给盛大网络又加上一条罪名，为了推销盛大密保，故意开发此木马程序。聪明的网吧维护人员会发现，“网吧传奇杀手”木马病毒对传奇私服，一样有效。当我们用安装了最新病毒库的杀毒软件检查机器时，却检测不到网络中的机器有病毒。“网吧传奇杀手”病毒，到底是如何工作的呢？

　　一、“网吧传奇杀手”病毒简介及工作过程

　　1、“网吧传奇杀手“木马病毒简介

　　“网吧传奇杀手”病毒是瑞星全球反病毒监测网，在2004年7月14日截获一个专门窃取“传奇”游戏密码的恶性木马病毒，并命名为“网吧传奇杀手（Trojan.PSW.LMir.qh）”。“网吧传奇杀手”病毒破解了《传奇2》的加密解密算法，通过截取局域网中的数据包，然后分析《传奇》游戏通讯协议的方法截获用户的信息。在局域网中运行这个病毒后，就可以获得整个局域网中传奇玩家的帐户和密码等信息。

　　2、“网吧传奇杀手“木马病毒工作过程

　　“网吧传奇杀手”木马病毒的工作原理，其实是对局域网中的机器进行Arp欺骗，虚拟网吧内部的网关地址，以此来收集局域网中传奇游戏登录信息，通过解析《传奇2》加密方式从而得到用户信息的破坏性软件。该软件只要在网吧的任何一台客户机上安装并且运行，就可以获取整个网吧内所有的传奇游戏登录信息。

　　“网吧传奇杀手”病毒工作时，首先在将安装有“网吧传奇杀手”机器的网卡MAC地址通过Arp欺骗广播至整个局域网，使局域网中的工作站误认为安装“网吧传奇杀手”的机器是该局域网的网关。由于局域网中的所有信息，都必须通过网关来中转，当网吧有此病毒在运行时，所有的传奇玩家信息便绕过了真正的网关，传输到安装有“网吧传奇杀手”的机器中。当病毒程序搜集到局域网中的相关信息后，通过解密《传奇2》的游戏通讯协议，可以获得所有传奇游戏玩家的帐户名称和密码。这样，“网吧传奇杀手”木马病毒可以轻松盗取传奇玩家的帐户信息。

　　3、“网吧传奇杀手”木马病毒发作特征

　　①网络连接短暂中断

　　当“网吧传奇杀手”病毒发作时，网吧所有的机器由于失去了真正的网关地址，网络连接会出现短暂中断，当病毒搜集《传奇2》玩家信息操作完成后，网络便恢复正常。网络中断时间，一般会在30秒到几分钟之间，持续时间不会太长。

　　②网络中出现相同的MAC地址

　　病毒发作时，我们使用IPbook超级网上邻居、网吧过滤王实名制管理软件等网络管理软件查看网络时，会发现局域网中存在着相同的MAC地址。如果有多台机器安装了“网吧传奇杀手”木马病毒，局域网中则会出现不同的IP地址中却存在相同的MAC地址。

　　二、定位安装“网吧传奇杀手”木马病毒的机器

　　目前，杀毒软件既使升级了病毒库，也无法查杀“网吧传奇杀手”病毒。我们只有充分了解“网吧传奇杀手”病毒的工作原理，才能手动查找运行此病毒的机器。由于此病毒是利用Arp对局域网中的机器进行网关欺骗时会有相同的MAC地址产生，我们可以根据这一特征查找。

　　网络执法官是一款网管软件，可用于管理局域网，能禁止局域网任意机器连接网络。在网络执法官禁止机器上网这一功能，也是利用了Arp欺骗，在网络中广播一个虚假的网关IP地址和与其对应的MAC地址，使一部分机器找不到真正的网关以限制部分机器连接网络。这一工作原理，与“网吧传奇杀手”的工作原理是相同的。

　　当网络执法官工作执行限制机器网络连接操作时，安装网络执法官软件的机器是处在网络混杂模式的。如果在同一个局域网中有多台机器安装了此软件，那么从任何一台安装有网络执法官软件的机器中，都可以看到凡是安装网络执法官软件的机器，都处在网络混杂模式。同样的道理，当“网吧传奇杀手”工作时，该机器也是处于网络混杂模式的，利用网络执法官可以轻松发现感染“网吧传奇杀手”病毒的机器。

　　同样，我们也可以利用Arp命令查找安装“网吧传奇杀手”的机器。在网络中任意一台机器中，执行Arp –a命令，这样在反馈信息中会得到一重复的MAC地址，此地址即为安装有“网吧传奇杀手”的机器。借助Sniffer、Ipbook超级网上邻居、过滤王实名制管理软件等网络管理软件，对比MAC地址来查找到此机器。

　　查找到安装了“网吧传奇杀手”的机器后，直接将此程序结束掉，网络就会恢复正常。为了安全，建议将代理服务器或者路由器重新启动。

　　三、“网吧传奇杀手”病毒的预防

　　1、客户机绑定网关地址及其MAC地址

　　首先，获得出口代理服务器的内网网卡地址和IP地址。（例如网关地址为192.168.1.254，其设备的MAC地址为00-05-b7-00-29-29）。然后编写一个Kill.bat的批处理，内容如下：
@echo off
arp –d
arp -s 192.168.1.254 00-05-b7-00-29-29

　　注意，最后一行中，请根据自己网吧的实际情况，将网关的IP地址和MAC地址替换一下。然后将Kill.bat文件，加载到操作系统的启动中就可以了。

　　2、利用网络设备预防“网吧传奇杀手”病毒

　　使用具有IP-MAC绑定功能的智能交换机，将网关的IP地址和MAC地址进行绑定，以此来预防“网吧传奇杀手”病毒。

　　“网吧传奇杀手”木马病毒，现在最新的版本，已经破译了《传奇世界》游戏的加密方式。目前虽然经过网络硬件厂商和网游运营商的共同努力，暂时抵制了该病毒的发作和传播。根据目前的形势，网吧行业不能对类似的病毒掉以轻心。杀毒软件并不是万能的，我们要根据网吧出现的故障，尽快找出故障原因，预防各类病毒木马的入侵。