首先，将本机MAC通过arp至局域网，使局域网中的工作站误认为本机是网关.该流程会造成局域网与internet连接中断，使游戏与服务器断开链接.待用户重新启动游戏并进行帐号登陆时，帐户信息并不会直接通过网关上传到代理服务器，而是上传到正在进行arp的传奇杀手软件中.通过传奇杀手自身的解密手段，会获得该帐户的真实用户名及密码.从而达到窃取玩家帐号的目的.

　　在局域网中受影响的客户机上执行arp-a，在回溃信息中会发现重复mac地址.该mac地址对应的即为使用传奇杀手的计算机.而重复的地址就是被arp后的网关地址.此时可根据mac地址前的ip地址查找该计算机并采取有效手段关闭程序.如果在运行该程序前，该机IP地址已经被更改，则需通过对应的MAC列表查找该物理网卡所存在的计算机.(由此可见，备份一张详细的局域网mac地址列表有多重要)

　　病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-e0-4c-8c-9a-47，正常的时候可以看到00-e0-4c-8c-9a-47的ip地址为192.168.0.131，就是这台机器中毒，将该机器的网线拔掉，再观察。

　　192.168.0.68现在检测发现的就有2种外挂带这种木马了！传奇木马。。用户怎么判别自己的电脑是否感染该病毒？同时按下键盘上的“CTRL”、“ALT”和“DEL”键，调出“Windows任务管理器”，察看其中有没有一个名为“MIR0.dat”的进程，如果有，则说明已经中毒。中毒之后，用户电脑还会出现IE浏览器频繁出错，一些常用软件也会出现故障。

　　工作原理大概就是运用ARP来实现的。所以临时的办法是使用最近新出的外挂。跟顾客协调好。比较实用的办法就是在运行里或者命令提示符下输入arp-sIP物理地址把IP和网卡物理地址绑到一起这样就了ARP木马的正常工作。网关不被替换掉当然就不掉线了。