“機器狗”病毒是2007年8月網(wǎng)民在網(wǎng)絡(luò)社區(qū)發(fā)布的病毒樣本。這種病毒沒有名字，它被命名為“機器狗”，因為它的圖標(biāo)類似于索尼制造的機器狗。

“機器狗”病毒搶占磁盤讀寫權(quán)限后，會覆蓋硬盤中存儲的正常文件的物理地址來編寫相應(yīng)的惡意代碼，既能達到穿透還原卡的目的，又能穿透殺毒軟件的文件監(jiān)控和保護。“機器狗”病毒是代理特洛伊系列病毒的變種，本質(zhì)上是特洛伊下載器。電腦受到攻擊后，會自動從網(wǎng)絡(luò)下載木馬、病毒、惡意軟件和插件，竊取用戶的隱私信息，甚至造成系統(tǒng)癱瘓。

根據(jù)金山公司發(fā)布的《2008年上半年中國計算機病毒流行與互聯(lián)網(wǎng)安全報告》，“機器狗”病毒因其攻擊時間長、影響范圍大而成為2008年的病毒之王。該病毒是2008年第一個使反病毒公司啟動紅色警報的病毒。

2007年8月29日，一個病毒樣本出現(xiàn)在網(wǎng)絡(luò)社區(qū)中。這種病毒沒有名字。由于圖標(biāo)酷似索尼制造的機器狗，因此被稱為“機器狗”病毒。

2007年11月22日，一家網(wǎng)吧的老板向姜敏的反病毒工程師報告說，他的網(wǎng)吧出現(xiàn)了一種奇怪的病毒。網(wǎng)吧的電腦安裝了硬盤保護卡，重啟后系統(tǒng)會自動恢復(fù)，但硬盤保護卡突然失效，系統(tǒng)文件中出現(xiàn)小狗圖案，也很慢。此外，網(wǎng)絡(luò)游戲玩家在網(wǎng)吧失去了他們的游戲帳戶。與此同時，許多網(wǎng)吧業(yè)主向姜敏病毒中心求助，聲稱他們受到了新病毒的攻擊。提取病毒樣本后，反病毒專家認(rèn)為該網(wǎng)吧是一種名叫“機器狗”的新型特洛伊。在ARP病毒的幫助下，該特洛伊可以突破“冰點還原”等系統(tǒng)還原軟件和一些常見的硬盤保護卡，使系統(tǒng)還原保護無效。該病毒在突破硬盤保護卡后，會下載多個惡性網(wǎng)絡(luò)游戲木馬并盜取常見網(wǎng)絡(luò)游戲的賬號和密碼，導(dǎo)致用戶遭受巨大損失。

2008年3月，金山毒霸全球反病毒監(jiān)控中心發(fā)布了最新的緊急病毒警告，稱“機器狗”的新變種正在大規(guī)模爆發(fā)。與之前的“機器狗”變種不同，這種新變種的破壞力更強。當(dāng)用戶在感染后啟動系統(tǒng)并輸入密碼時，將會反復(fù)注銷。各種殺毒軟件無法正常使用，尤其是在一些網(wǎng)吧和學(xué)校機房。即使系統(tǒng)恢復(fù)了，“機器狗”編寫的驅(qū)動程序文件也無法刪除。金山毒霸反病毒專家李鐵軍表示，最近發(fā)現(xiàn)“機器狗病毒”異常活躍。該病毒被網(wǎng)民命名為“機器狗”，因為最初的版本使用電子狗的照片作為圖標(biāo)，其品種多種多樣，大多顯示殺毒軟件無法正常運行。新變種病毒通過特殊技術(shù)直接重寫系統(tǒng)文件，在系統(tǒng)還原卡驅(qū)動程序之前加載病毒驅(qū)動程序。

2008年8月，根據(jù)金山公司發(fā)布的《2008年上半年中國計算機病毒流行與網(wǎng)絡(luò)安全報告》，“機器狗”病毒因其攻擊時間長、影響范圍大而成為“病毒之王”。甚至杭州汪順信息技術(shù)有限公司也宣布懸賞50萬元捉拿該病毒的元兇。與此同時，在杭州，一個由熱心網(wǎng)友組成的“捕狗隊”活躍在網(wǎng)絡(luò)上，并通過QQ與MSN聯(lián)系，以控制病毒“機器狗”。

“機器狗”病毒是代理特洛伊系列病毒的變種，本質(zhì)上是特洛伊下載器。主要攻擊網(wǎng)吧、學(xué)校機房等一些公共局域網(wǎng)，通過“拿刀殺人”的方式危害計算機。電腦被攻擊后，會自動從網(wǎng)絡(luò)下載木馬、病毒、惡意軟件和插件，竊取用戶的隱私信息。最初，計算機被病毒感染后會生成一個“機器狗”的圖標(biāo)，因此得名。

“機器狗”病毒運行后，會將一個名為“pcihdd.sys”的低級硬盤驅(qū)動器文件釋放到“drivers”目錄中，通過提高優(yōu)先級來替換還原卡的硬盤驅(qū)動器，操作真實磁盤I/O端口，并在真實磁盤上執(zhí)行修改和覆蓋、“userinit.exe”或“ctfmon.exe”、“conime.exe”和“explorer.exe”目標(biāo)文件操作，從而達到徹底性。也就是說，“機器狗”病毒在獲得磁盤的讀寫操作權(quán)限后，通過覆蓋硬盤中存儲的那些正常文件的物理地址來編寫相應(yīng)的惡意代碼，不僅可以達到穿透還原卡的目的，還可以穿透殺毒軟件的文件監(jiān)控和保護。

“機器狗”病毒沒有破壞硬盤保護卡驅(qū)動文件。雖然許多其他惡意程序在“機器狗”病毒運行后被下載并安裝，但它們將在重新啟動計算機后由硬盤保護卡恢復(fù)，但被修改和覆蓋的真實磁盤文件不會恢復(fù)。系統(tǒng)中的userinit.exe文件可以判斷計算機是否感染了“機器狗”病毒。該文件位于系統(tǒng)目錄的system32文件夾中。如果在文件的屬性窗口中看不到文件的版本標(biāo)簽，則意味著計算機已經(jīng)感染了“機器狗”病毒。

破壞計算機系統(tǒng):進入系統(tǒng)后修改注冊表，使幾乎所有安全軟件都無法正常使用，導(dǎo)致系統(tǒng)癱瘓。

泄露個人隱私:在用戶不知情的情況下連接網(wǎng)絡(luò)，自動下載用戶電腦中的大量木馬、病毒、惡意軟件、插件等。這些特洛伊病毒可以竊取用戶的賬戶密碼、私人文件和其他私人信息。

破壞局域網(wǎng):通過第三方軟件漏洞、下載u盤病毒和ARP攻擊病毒瘋狂傳播，導(dǎo)致整個局域網(wǎng)癱瘓。

銷毀文件:在真實磁盤上用惡意代碼修改和覆蓋目標(biāo)文件，這樣修改和覆蓋的真實磁盤文件將無法恢復(fù)。系統(tǒng)重啟后，安裝運行前的惡意程序會再次下載，導(dǎo)致系統(tǒng)運行緩慢甚至癱瘓。

該病毒主要針對網(wǎng)吧。網(wǎng)吧的電腦一般都配有硬盤還原卡，重啟電腦后系統(tǒng)會自動恢復(fù)到初始狀態(tài)。普通病毒無法生存，但機器狗病毒可以突破“冰點還原”等系統(tǒng)還原軟件和一些常見的硬盤保護卡，私自下載特洛伊馬軟件，竊取玩家的游戲賬號和密碼。由于“機器狗”病毒的不斷升級和變異，感染后的癥狀也不盡相同。例如:登錄系統(tǒng)后立即注銷，任務(wù)欄輸入法消失；啟動后桌面丟失，explorer.exe進程無法啟動；開機時出現(xiàn)藍屏，無法登錄系統(tǒng)；當(dāng)您打開“我的電腦”或IE時，如果只有一個窗口打開，請關(guān)閉打開的窗口，桌面進程將重新啟動。

局域網(wǎng)傳播:通過ARP欺騙在局域網(wǎng)中傳播。

漏洞傳播:利用IE插件的系統(tǒng)漏洞和緩沖區(qū)溢出漏洞，特別是網(wǎng)頁木馬的常見漏洞MS06-014和MS07-017進行傳播。

掛馬傳播:利用應(yīng)用軟件漏洞傳播病毒，比如一些聊天工具漏洞、播放器軟件漏洞、網(wǎng)絡(luò)電視軟件漏洞、游戲軟件漏洞，甚至一些常用的下載工具漏洞都會成為病毒的傳播途徑。

設(shè)備傳播:通過使用u盤等移動存儲設(shè)備傳播。

“機器狗病毒”事件在大眾媒體上引起了廣泛討論，新華社、解放日報、青年報和北京晨報等中國主流媒體都報道了這一事件。

機器狗

金山發(fā)布的《2008年上半年中國計算機病毒流行與網(wǎng)絡(luò)安全報告》顯示，機器狗病毒因其極高的危害性和傳播速度而成為“2008年病毒之王”，截至2008年8月5日，累計造成至少80億元人民幣的經(jīng)濟損失。杭州汪順科技發(fā)布“機器狗通緝令”，懸賞50萬元尋找“機器狗”病毒的制造者，這是2008年企業(yè)發(fā)出的最高病毒通緝令。

2008年，杭州組織了一個“捕狗隊”來追蹤病毒的作者。截至2008年9月17日，最大的“捕狗者”在WebTech論壇中有500名成員，其中大多數(shù)是WebTech的技術(shù)人員、經(jīng)理和網(wǎng)吧經(jīng)理。他們活躍在網(wǎng)絡(luò)中，并通過QQ與MSN聯(lián)系以控制互聯(lián)網(wǎng)上的病毒“機器狗”。但“機器狗”的背后也是一個龐大的團隊，利用病毒黑客攻擊來達到賺錢的目的。