“機器狗”病毒是2007年8月網(wǎng)民在網(wǎng)絡(luò)社區(qū)發(fā)布的病毒樣本。這種病毒沒有名字，它被命名為“機器狗”，因為它的圖標類似于索尼制造的機器狗。

“機器狗”病毒搶占磁盤讀寫權(quán)限后，會覆蓋硬盤中存儲的正常文件的物理地址來編寫相應的惡意代碼，既能達到穿透還原卡的目的，又能穿透殺毒軟件的文件監(jiān)控和保護?！皺C器狗”病毒是代理特洛伊系列病毒的變種，本質(zhì)上是特洛伊下載器。電腦受到攻擊后，會自動從網(wǎng)絡(luò)下載木馬、病毒、惡意軟件和插件，竊取用戶的隱私信息，甚至造成系統(tǒng)癱瘓。

根據(jù)金山公司發(fā)布的《2008年上半年中國計算機病毒流行與互聯(lián)網(wǎng)安全報告》，“機器狗”病毒因其攻擊時間長、影響范圍大而成為2008年的病毒之王。該病毒是2008年第一個使反病毒公司啟動紅色警報的病毒。

2007年8月29日，一個病毒樣本出現(xiàn)在網(wǎng)絡(luò)社區(qū)中。這種病毒沒有名字。由于圖標酷似索尼制造的機器狗，因此被稱為“機器狗”病毒。

2007年11月22日，一家網(wǎng)吧的老板向姜敏的反病毒工程師報告說，他的網(wǎng)吧出現(xiàn)了一種奇怪的病毒。網(wǎng)吧的電腦安裝了硬盤保護卡，重啟后系統(tǒng)會自動恢復，但硬盤保護卡突然失效，系統(tǒng)文件中出現(xiàn)小狗圖案，也很慢。此外，網(wǎng)絡(luò)游戲玩家在網(wǎng)吧失去了他們的游戲帳戶。與此同時，許多網(wǎng)吧業(yè)主向姜敏病毒中心求助，聲稱他們受到了新病毒的攻擊。提取病毒樣本后，反病毒專家認為該網(wǎng)吧是一種名叫“機器狗”的新型特洛伊。在ARP病毒的幫助下，該特洛伊可以突破“冰點還原”等系統(tǒng)還原軟件和一些常見的硬盤保護卡，使系統(tǒng)還原保護無效。該病毒在突破硬盤保護卡后，會下載多個惡性網(wǎng)絡(luò)游戲木馬并盜取常見網(wǎng)絡(luò)游戲的賬號和密碼，導致用戶遭受巨大損失。

2008年3月，金山毒霸全球反病毒監(jiān)控中心發(fā)布了最新的緊急病毒警告，稱“機器狗”的新變種正在大規(guī)模爆發(fā)。與之前的“機器狗”變種不同，這種新變種的破壞力更強。當用戶在感染后啟動系統(tǒng)并輸入密碼時，將會反復注銷。各種殺毒軟件無法正常使用，尤其是在一些網(wǎng)吧和學校機房。即使系統(tǒng)恢復了，“機器狗”編寫的驅(qū)動程序文件也無法刪除。金山毒霸反病毒專家李鐵軍表示，最近發(fā)現(xiàn)“機器狗病毒”異?；钴S。該病毒被網(wǎng)民命名為“機器狗”，因為最初的版本使用電子狗的照片作為圖標，其品種多種多樣，大多顯示殺毒軟件無法正常運行。新變種病毒通過特殊技術(shù)直接重寫系統(tǒng)文件，在系統(tǒng)還原卡驅(qū)動程序之前加載病毒驅(qū)動程序。

2008年8月，根據(jù)金山公司發(fā)布的《2008年上半年中國計算機病毒流行與網(wǎng)絡(luò)安全報告》，“機器狗”病毒因其攻擊時間長、影響范圍大而成為“病毒之王”。甚至杭州汪順信息技術(shù)有限公司也宣布懸賞50萬元捉拿該病毒的元兇。與此同時，在杭州，一個由熱心網(wǎng)友組成的“捕狗隊”活躍在網(wǎng)絡(luò)上，并通過QQ與MSN聯(lián)系，以控制病毒“機器狗”。

“機器狗”病毒是代理特洛伊系列病毒的變種，本質(zhì)上是特洛伊下載器。主要攻擊網(wǎng)吧、學校機房等一些公共局域網(wǎng)，通過“拿刀殺人”的方式危害計算機。電腦被攻擊后，會自動從網(wǎng)絡(luò)下載木馬、病毒、惡意軟件和插件，竊取用戶的隱私信息。最初，計算機被病毒感染后會生成一個“機器狗”的圖標，因此得名。

“機器狗”病毒運行后，會將一個名為“pcihdd.sys”的低級硬盤驅(qū)動器文件釋放到“drivers”目錄中，通過提高優(yōu)先級來替換還原卡的硬盤驅(qū)動器，操作真實磁盤I/O端口，并在真實磁盤上執(zhí)行修改和覆蓋、“userinit.exe”或“ctfmon.exe”、“conime.exe”和“explorer.exe”目標文件操作，從而達到徹底性。也就是說，“機器狗”病毒在獲得磁盤的讀寫操作權(quán)限后，通過覆蓋硬盤中存儲的那些正常文件的物理地址來編寫相應的惡意代碼，不僅可以達到穿透還原卡的目的，還可以穿透殺毒軟件的文件監(jiān)控和保護。

“機器狗”病毒沒有破壞硬盤保護卡驅(qū)動文件。雖然許多其他惡意程序在“機器狗”病毒運行后被下載并安裝，但它們將在重新啟動計算機后由硬盤保護卡恢復，但被修改和覆蓋的真實磁盤文件不會恢復。系統(tǒng)中的userinit.exe文件可以判斷計算機是否感染了“機器狗”病毒。該文件位于系統(tǒng)目錄的system32文件夾中。如果在文件的屬性窗口中看不到文件的版本標簽，則意味著計算機已經(jīng)感染了“機器狗”病毒。

破壞計算機系統(tǒng):進入系統(tǒng)后修改注冊表，使幾乎所有安全軟件都無法正常使用，導致系統(tǒng)癱瘓。

泄露個人隱私:在用戶不知情的情況下連接網(wǎng)絡(luò)，自動下載用戶電腦中的大量木馬、病毒、惡意軟件、插件等。這些特洛伊病毒可以竊取用戶的賬戶密碼、私人文件和其他私人信息。

破壞局域網(wǎng):通過第三方軟件漏洞、下載u盤病毒和ARP攻擊病毒瘋狂傳播，導致整個局域網(wǎng)癱瘓。

銷毀文件:在真實磁盤上用惡意代碼修改和覆蓋目標文件，這樣修改和覆蓋的真實磁盤文件將無法恢復。系統(tǒng)重啟后，安裝運行前的惡意程序會再次下載，導致系統(tǒng)運行緩慢甚至癱瘓。

該病毒主要針對網(wǎng)吧。網(wǎng)吧的電腦一般都配有硬盤還原卡，重啟電腦后系統(tǒng)會自動恢復到初始狀態(tài)。普通病毒無法生存，但機器狗病毒可以突破“冰點還原”等系統(tǒng)還原軟件和一些常見的硬盤保護卡，私自下載特洛伊馬軟件，竊取玩家的游戲賬號和密碼。由于“機器狗”病毒的不斷升級和變異，感染后的癥狀也不盡相同。例如:登錄系統(tǒng)后立即注銷，任務欄輸入法消失；啟動后桌面丟失，explorer.exe進程無法啟動；開機時出現(xiàn)藍屏，無法登錄系統(tǒng)；當您打開“我的電腦”或IE時，如果只有一個窗口打開，請關(guān)閉打開的窗口，桌面進程將重新啟動。

局域網(wǎng)傳播:通過ARP欺騙在局域網(wǎng)中傳播。

漏洞傳播:利用IE插件的系統(tǒng)漏洞和緩沖區(qū)溢出漏洞，特別是網(wǎng)頁木馬的常見漏洞MS06-014和MS07-017進行傳播。

掛馬傳播:利用應用軟件漏洞傳播病毒，比如一些聊天工具漏洞、播放器軟件漏洞、網(wǎng)絡(luò)電視軟件漏洞、游戲軟件漏洞，甚至一些常用的下載工具漏洞都會成為病毒的傳播途徑。

設(shè)備傳播:通過使用u盤等移動存儲設(shè)備傳播。

“機器狗病毒”事件在大眾媒體上引起了廣泛討論，新華社、解放日報、青年報和北京晨報等中國主流媒體都報道了這一事件。

機器狗

金山發(fā)布的《2008年上半年中國計算機病毒流行與網(wǎng)絡(luò)安全報告》顯示，機器狗病毒因其極高的危害性和傳播速度而成為“2008年病毒之王”，截至2008年8月5日，累計造成至少80億元人民幣的經(jīng)濟損失。杭州汪順科技發(fā)布“機器狗通緝令”，懸賞50萬元尋找“機器狗”病毒的制造者，這是2008年企業(yè)發(fā)出的最高病毒通緝令。

2008年，杭州組織了一個“捕狗隊”來追蹤病毒的作者。截至2008年9月17日，最大的“捕狗者”在WebTech論壇中有500名成員，其中大多數(shù)是WebTech的技術(shù)人員、經(jīng)理和網(wǎng)吧經(jīng)理。他們活躍在網(wǎng)絡(luò)中，并通過QQ與MSN聯(lián)系以控制互聯(lián)網(wǎng)上的病毒“機器狗”。但“機器狗”的背后也是一個龐大的團隊，利用病毒黑客攻擊來達到賺錢的目的。