對付ARP欺騙攻擊16a.us病毒的解決方案

　　最近單位局域網電腦上網，大多數網站頁面顯示都會異常，卡巴在訪問網站的時候會提示“"木馬程序Trojan-Downloader.JS.Agent.gd 文件[url]hxxp://16a.us/*.js[/url]”，查看HTML源碼，會在所有網頁頂部多出一行 ，最開始還以為是我們單位網站服務器被掛了木馬，後來發現訪問其他網站也是同樣問題，包括建行、IT168等大型網站，所以就把問題鎖定在我們局域網內部，開始上網找解決辦法，試驗過各種辦法都沒有效果，包括：

　　1、修改Hosts文件

　　2、下載360安全衛士的什麼固定時間的軟件

　　3、升級操作系統補丁

　　4、升級殺毒軟件的最新病毒庫等等

　　今天上午，不甘心，繼續在搜索引擎中尋找答案(而且這個問題必須解決，否則單位裡同事上網基本上處於半癱瘓狀態，絕大多數網站顯示異常)，受到一個帖子的啟發，認為16a.us病毒現象應該是屬於APR病毒欺騙攻擊，所以就在Baidu裡檢索有關APR病毒欺騙攻擊的解決方案，經過試驗並論證，我們單位局域網電腦問題全部解決，不敢獨享，特意將解決方案拿出來共享，希望能夠幫到其他正為這個問題急得焦頭爛額的同仁們!

　　具體的解決步驟如下(將網關的MAC地址進行靜態綁定)：

　　第1步：關閉所有IE浏覽器，進入CMD模式

　　第2步：輸入arp -a指令，可以在返回的結果看到局域網網關的IP地址及MAC地址(網關MAC地址的正確性需要與網管確認一下，以防病毒已經在你電腦的ARP緩存中修改了網關的MAC地址)。

　　第3步：輸入arp -s 網關IP地址 網關MAC地址，記住這裡輸入的MAC地址是需要正確的網關MAC地址。

　　第4步：進入網絡屬性，如果不是動態獲IP地址，改成動態獲IP地址(如果已經是動態獲IP地址，則重新修復一下網絡連接便可)。

　　第5步：問題解決了，打開IE，試驗一下看看，是否以前有問題的網站現在都顯示正常了。

　　注：

　　1、建議將第三步寫成一個批處理文件，添加到啟動項，否則每次啟動之後將丟失配置。

　　2、如果是DNS服務器MAC地址被挾持，就處理相應DNS服務器MAC綁定。

　　3、以上方法只是治標，並沒有治本，我們要共同盡快找到徹底清楚16a.us元凶(也就是說在局域網的電腦內，必定有一台電腦確實中毒了或被掛上木馬了)的方法。