近期，一种新型的“ ARP 欺骗”木马病毒正在校园网中扩散，严重影响了校园网的正常运行。感染此木马的计算机试图通过“ ARP 欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。具体表现为用户频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题，有时表现为计算机与网络连接是连通状态，但不能上网。
      网络中心如果测定计算机感染病毒，会及时断开此计算机与网络的连接，请各用户杀毒或重新安装系统。目前，已知传奇游戏的“传奇 2 冰橙子 1.14 ”和“及时雨 PK 破解版”两种外挂存在着这种木马。
     此木马的手工查杀比较困难，计算机用户和网络管理员可以通过检查系统进程表和 ARP 表进行感染判断和处理，具体过程和方法如下。

一 . 用户检查和处理“ ARP 欺骗”木马的方法

1 ．检查本机的“ ARP 欺骗”木马染毒进程
    同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。

2 ．检查网内感染“ ARP 欺骗”木马染毒的计算机

    在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令：

ipconfig

    记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 59.66.36.1 ”。再输入并执行以下命令：

   arp –a

    在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-e0-fc-3e-13-b4 ”。在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

    也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。

二 解决“ ARP 欺骗”木马的方法

1.设置 ARP 表避免“ ARP 欺骗”木马影响的方法

    本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上述介绍的方法确定正确的网关 IP 地址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令：

    arp –s  网关IP  网关MAC地址

    如：arp -s 172.20.0.1 00-e0-fc-3e-13-b4

    也可将此命令写入一个".bat"文件并放在"启动"中，使得系统每次启动就生效。
2、查杀木马病毒
    2.1  下载木马查杀工具（下载）
    2.2  安装系统补丁（win2000）（winxp）