機器狗

“機器狗”病毒是2007年8月網民在網絡社區發布的病毒樣本。這種病毒沒有名字，它被命名為“機器狗”，因為它的圖標類似于索尼制造的機器狗。

“機器狗”病毒搶占磁盤讀寫權限后，會覆蓋硬盤中存儲的正常文件的物理地址來編寫相應的惡意代碼，既能達到穿透還原卡的目的，又能穿透殺毒軟件的文件監控和保護。“機器狗”病毒是代理特洛伊系列病毒的變種，本質上是特洛伊下載器。電腦受到攻擊后，會自動從網絡下載木馬、病毒、惡意軟件和插件，竊取用戶的隱私信息，甚至造成系統癱瘓。

根據金山公司發布的《2008年上半年中國計算機病毒流行與互聯網安全報告》，“機器狗”病毒因其攻擊時間長、影響范圍大而成為2008年的病毒之王。該病毒是2008年第一個使反病毒公司啟動紅色警報的病毒。

2007年8月29日，一個病毒樣本出現在網絡社區中。這種病毒沒有名字。由于圖標酷似索尼制造的機器狗，因此被稱為“機器狗”病毒。

2007年11月22日，一家網吧的老板向姜敏的反病毒工程師報告說，他的網吧出現了一種奇怪的病毒。網吧的電腦安裝了硬盤保護卡，重啟后系統會自動恢復，但硬盤保護卡突然失效，系統文件中出現小狗圖案，也很慢。此外，網絡游戲玩家在網吧失去了他們的游戲帳戶。與此同時，許多網吧業主向姜敏病毒中心求助，聲稱他們受到了新病毒的攻擊。提取病毒樣本后，反病毒專家認為該網吧是一種名叫“機器狗”的新型特洛伊。在ARP病毒的幫助下，該特洛伊可以突破“冰點還原”等系統還原軟件和一些常見的硬盤保護卡，使系統還原保護無效。該病毒在突破硬盤保護卡后，會下載多個惡性網絡游戲木馬并盜取常見網絡游戲的賬號和密碼，導致用戶遭受巨大損失。

2008年3月，金山毒霸全球反病毒監控中心發布了最新的緊急病毒警告，稱“機器狗”的新變種正在大規模爆發。與之前的“機器狗”變種不同，這種新變種的破壞力更強。當用戶在感染后啟動系統并輸入密碼時，將會反復注銷。各種殺毒軟件無法正常使用，尤其是在一些網吧和學校機房。即使系統恢復了，“機器狗”編寫的驅動程序文件也無法刪除。金山毒霸反病毒專家李鐵軍表示，最近發現“機器狗病毒”異常活躍。該病毒被網民命名為“機器狗”，因為最初的版本使用電子狗的照片作為圖標，其品種多種多樣，大多顯示殺毒軟件無法正常運行。新變種病毒通過特殊技術直接重寫系統文件，在系統還原卡驅動程序之前加載病毒驅動程序。

2008年8月，根據金山公司發布的《2008年上半年中國計算機病毒流行與網絡安全報告》，“機器狗”病毒因其攻擊時間長、影響范圍大而成為“病毒之王”。甚至杭州汪順信息技術有限公司也宣布懸賞50萬元捉拿該病毒的元兇。與此同時，在杭州，一個由熱心網友組成的“捕狗隊”活躍在網絡上，并通過QQ與MSN聯系，以控制病毒“機器狗”。

“機器狗”病毒是代理特洛伊系列病毒的變種，本質上是特洛伊下載器。主要攻擊網吧、學校機房等一些公共局域網，通過“拿刀殺人”的方式危害計算機。電腦被攻擊后，會自動從網絡下載木馬、病毒、惡意軟件和插件，竊取用戶的隱私信息。最初，計算機被病毒感染后會生成一個“機器狗”的圖標，因此得名。

“機器狗”病毒運行后，會將一個名為“pcihdd.sys”的低級硬盤驅動器文件釋放到“drivers”目錄中，通過提高優先級來替換還原卡的硬盤驅動器，操作真實磁盤I/O端口，并在真實磁盤上執行修改和覆蓋、“userinit.exe”或“ctfmon.exe”、“conime.exe”和“explorer.exe”目標文件操作，從而達到徹底性。也就是說，“機器狗”病毒在獲得磁盤的讀寫操作權限后，通過覆蓋硬盤中存儲的那些正常文件的物理地址來編寫相應的惡意代碼，不僅可以達到穿透還原卡的目的，還可以穿透殺毒軟件的文件監控和保護。

“機器狗”病毒沒有破壞硬盤保護卡驅動文件。雖然許多其他惡意程序在“機器狗”病毒運行后被下載并安裝，但它們將在重新啟動計算機后由硬盤保護卡恢復，但被修改和覆蓋的真實磁盤文件不會恢復。系統中的userinit.exe文件可以判斷計算機是否感染了“機器狗”病毒。該文件位于系統目錄的system32文件夾中。如果在文件的屬性窗口中看不到文件的版本標簽，則意味著計算機已經感染了“機器狗”病毒。

破壞計算機系統:進入系統后修改注冊表，使幾乎所有安全軟件都無法正常使用，導致系統癱瘓。

泄露個人隱私:在用戶不知情的情況下連接網絡，自動下載用戶電腦中的大量木馬、病毒、惡意軟件、插件等。這些特洛伊病毒可以竊取用戶的賬戶密碼、私人文件和其他私人信息。

破壞局域網:通過第三方軟件漏洞、下載u盤病毒和ARP攻擊病毒瘋狂傳播，導致整個局域網癱瘓。

銷毀文件:在真實磁盤上用惡意代碼修改和覆蓋目標文件，這樣修改和覆蓋的真實磁盤文件將無法恢復。系統重啟后，安裝運行前的惡意程序會再次下載，導致系統運行緩慢甚至癱瘓。

該病毒主要針對網吧。網吧的電腦一般都配有硬盤還原卡，重啟電腦后系統會自動恢復到初始狀態。普通病毒無法生存，但機器狗病毒可以突破“冰點還原”等系統還原軟件和一些常見的硬盤保護卡，私自下載特洛伊馬軟件，竊取玩家的游戲賬號和密碼。由于“機器狗”病毒的不斷升級和變異，感染后的癥狀也不盡相同。例如:登錄系統后立即注銷，任務欄輸入法消失；啟動后桌面丟失，explorer.exe進程無法啟動；開機時出現藍屏，無法登錄系統；當您打開“我的電腦”或IE時，如果只有一個窗口打開，請關閉打開的窗口，桌面進程將重新啟動。

局域網傳播:通過ARP欺騙在局域網中傳播。

漏洞傳播:利用IE插件的系統漏洞和緩沖區溢出漏洞，特別是網頁木馬的常見漏洞MS06-014和MS07-017進行傳播。

掛馬傳播:利用應用軟件漏洞傳播病毒，比如一些聊天工具漏洞、播放器軟件漏洞、網絡電視軟件漏洞、游戲軟件漏洞，甚至一些常用的下載工具漏洞都會成為病毒的傳播途徑。

設備傳播:通過使用u盤等移動存儲設備傳播。

“機器狗病毒”事件在大眾媒體上引起了廣泛討論，新華社、解放日報、青年報和北京晨報等中國主流媒體都報道了這一事件。

機器狗

金山發布的《2008年上半年中國計算機病毒流行與網絡安全報告》顯示，機器狗病毒因其極高的危害性和傳播速度而成為“2008年病毒之王”，截至2008年8月5日，累計造成至少80億元人民幣的經濟損失。杭州汪順科技發布“機器狗通緝令”，懸賞50萬元尋找“機器狗”病毒的制造者，這是2008年企業發出的最高病毒通緝令。

2008年，杭州組織了一個“捕狗隊”來追蹤病毒的作者。截至2008年9月17日，最大的“捕狗者”在WebTech論壇中有500名成員，其中大多數是WebTech的技術人員、經理和網吧經理。他們活躍在網絡中，并通過QQ與MSN聯系以控制互聯網上的病毒“機器狗”。但“機器狗”的背后也是一個龐大的團隊，利用病毒黑客攻擊來達到賺錢的目的。