笔者所在的学校在迁入新校园后配置了较高端的网络设备，以支持现代教育技术的应用。核心交换机采用Ｄ－Ｌｉｎｋ的中高端产品ＤＥＳ ７６００，接入交换机采用可网管的ＤＥＳ ３２２６Ｓ。校园网物理结构以楼为单位，用ＤＥＳ ３２２６Ｓ进行堆叠，经光纤连接到ＤＥＳ ７６００。根据楼层或应用性质的不同，基于端口划分了不同的ＶＬＡＮ（虚拟网）。在端口密集的办公楼，以每一楼层划分一个ＶＬＡＮ；三幢教学楼有教室又有教师办公室，于是划分成两个ＶＬＡＮ；科技楼、食堂、学生宿舍、青年教工宿舍，每幢楼分别划分一个ＶＬＡＮ。

遭遇木马

在冲击波病毒刚爆发的时候，就发现DES 7600莫名地死机，停止数据包的转发。在查明原因之后，立即在DES 7600上关闭了冲击波病毒的试探端口，有效地保护了DES 7600本身，也阻止了病毒的扩散。但是现在的病毒和木马利用的端口太多，不能一一关闭。所以就在DES 7600上关闭了各VALN之间的通信，各应用VLAN只能访问两个防火墙所在的VLAN（V253、V254）。利用防火墙一保护服务器所在的DMZ，二防火墙能有效地设置策略控制上网，所以网络两年多来一直运行得很好。但是最近的一次查杀木马的经历，让笔者认识到了木马对网络的巨大危害。

近来，高三教学楼的教师不断抱怨网络速度很慢，上网时断时续。笔者查看了该VLAN端口的流量后，没发现有异常的大流量发生，而且其他的VLAN没有出现类似的问题。于是初步判断该VLAN可能出现了病毒或有用户在使用恶意软件进行破坏。但是该网段的教师都是任教高三的教师，工作都很忙，所以有机器中毒的可能性就显得很大。于是笔者首先在办公平台上发了通知，要求该VALN内的教师在中午进行一次杀毒。可是下午还是有许多教师打电话过来，网络仍然时断时续。没办法，笔者只好拿起笔记本电脑冲向高三教学楼。

查找木马

首先笔者选择其中一位教师的电脑，发现打开网页确实很慢，有时根本无法打开。于是用自己的笔记本电脑进行上网，刚开始速度还可以，但过了几分钟后，打开网页很慢，甚至无法Ping通过网关。可以判断网络中确实出现了问题，于是打开Sniffer Pro来监控和分析故障原因。

⒈打开仪表盘进行监控。经1分种实时观察，没有发现网络利用率很高，数据包传输也没有错误。可见物理上应该没有问题。

⒉用矩阵地图进行监视。从实时图上也没有发现有太多的机器在使用。其实当时网络已有故障，所以访问不是很多，而且笔者是直接插在交换机口上，有些数据包是捕捉不到的。

⒊用默认过滤设置进行捕捉。从Sniffer Pro的状态栏中观察到数据包阶段性的在突增，并且出现报警记录。

⒋打开警告日志窗口。从报警日志窗口可以明显得知，该VLAN中存在广播和多播风暴（见图1）。

⒌在高级窗口点击解码卷标，切换到解码窗口查看捕获结果。看了之后让笔者大吃一惊。从总结窗格中可以看出，果然有机器在扫描VLAN中的机器和发送广播、多播数据包（见图2），而且在不停地轮回扫描和发送。那么到底是哪台机器在发送数据包呢？从源地址栏中可以看出是MAC地址为000C7669C18C这台机器，而且从笔者电脑(IP：192.168.8.48)的回复中，可以确定这台机器的IP地址为192.168.8.16。

分析故障原因

那么这台机器是如何让所在的VLAN瘫痪的呢？笔者在第一次捕获中没有找到答案，于是延长了时间继续捕获。终于在第二次捕获结果的总结窗格中找到了原因，原来这台机器经过几次扫描之后，把自己伪装成网关，然后发送ARP回复数据包进行欺骗（见图3）。

由此可见，这台机器的不断广播和多播风暴影响了网速，而它的欺骗导致了其他机器与网关失去了联系。为了证明猜测是正确的，笔者用“arp -a”不停地查看本机的缓冲区，最后看到了缓冲区的变化。正确的网关IP地址是192.168.8.254，MAC地址是0050BAFDDEDA，被欺骗后变成了中毒机器（IP地址192.168.8.16）的MAC地址000C7669C18C。

清除木马

首先用系统安装的诺顿企业版，但只查到一个木马程序（1.com），木马名称是PWSteal.Trojan。但任务栏托盘的本地连接图标上显示机器还在不断地发送数据包，可见诺顿根本没有清除内存中的木马。于是打开任务管理器，发现有一个WINLOGON.exe进程很可疑，因为正常情况下Windows 2000只有一个Winlogon.exe进程，而且进程名应该是小写字符。可恶的是在任务管理器中无法结束此进程，即使进入安全模式下也不能结束进程，更谈不上删除WINNT目录下的WINLOGON.exe文件。可见木马在安全模式下也已运行了，这在木马和病毒中是不多见的。

由于这台机器是没有光驱的，所以无法用Windows PE类工具光盘来启动并删除木马文件。而且也没有启动软盘，克隆重装系统也显得太菜鸟了。尝试几次都失败后，只好把这台机请到了笔者办公室，慢慢研究清除的方法。

⒈首先请出笔者惯用的冰刃（IceSword）来结束进程。因为利用这类工具可以结束任务管理器中无法结束的进程，或者结束进程中的模块（很多木马就把自己注入在其他的进程中）。

出乎意料的是，冰刃这一次似乎不灵了。因为冰刃启动后，只要点击“进程”图标，计算机就立即关机重启。由于冰刃在安全模式下不能启动，所以无法用冰刃手动删除这个木马。

⒉用Killbox来结束进程。跟冰刃一样，只要选择结束WINLOGON.exe进程，计算机也立即关机重启。而且Killbox也无法删除WINLOGON.exe文件（选择“重启时删除文件”也不行）。

⒊用微点主动防御软件。诺顿的不作为、IceSword和Killbox的不灵，令人感到很失望。突然想起曾经有网友说，有个微点主动防御软件很不错，很多病毒都逃不过它的火眼金睛。于是就从网上下载安装了微点主动防御软件。但是微点也只能查到木马产生的几个COM文件，也不能隔离WINLOGON.exe。而且在微点的进程管理器中也不能直接结束WINLOGON.exe进程，也无法删除C:\Program Files\Internet Explorer下的IEXPLORE.Dat和IEXPLORE.Sys文件。

由于首次接触微点软件，使用起来不是很熟悉。在几次尝试结束进程失败后，笔者也以为微点无力对付这个木马。但令人惊喜的是，微点的进程管理也详细地列出了每个进程所关联的模块名称以及文件路径（见图4），而且“系统自启动信息”窗口也非常详细地列举了系统已启动的程序和方式。由于对这个木马已经有了较深的认识，知道哪些是木马用到的文件，通过微点“系统自启动信息”窗口，也知道了木马是如何得以运行的。所以，笔者首先在微点进程中查找已被木马注入的进程，然后一一结束这些进程中的木马模块。在结束了相关的进程模块后，WINLOGON.exe终于也能结束了。由于木马感染的进程被结束了，所以IEXPLORE.Dat、IEXPLORE.Sys、WINLOGON.exe等文件也就能够被删除了。最后笔者又查找并删除了所有可疑的COM文件，并根据微点“系统自启动信息”窗口中的信息删除了注册表中的相关键值。重启之后，WINLOGON.exe进程也就没有再出现。

⒋由于不放心手工清除，笔者又下载了公认较好的“木马杀客”。运行“木马杀客”后，查到Smss.exe也感染了木马，并显示清除成功。至此，终于把这个顽固难缠的木马清除出去了。

通过这次经历可以看出：木马对局域网的危害越来越大，能够使局域网瘫痪。木马加壳技术也越来越厉害，已能逃过杀毒软件的监控。木马的启动方式也越来越多，不再局限于注册表中的RUN键。同时，为了对付arp欺骗，可以用“arp -d”清空arp地址缓存，迫使系统重新得到查询网关信息。或者用“arp-s”手动指定网关的IP与MAC地址，阻止木马的arp欺骗。也希望有类似微点进程管理和系统自启动信息管理的工具出现。