曾经有很多人说有穿透还原卡、冰点的病毒，但是在各个论坛都没有样本证据，直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字，图示是SONY的机器狗阿宝，就像前辈“熊猫烧香”一样，大家给它起了个名字叫机器狗。 此病毒採用hook系统的磁碟设备栈来达到穿透目的的，危害极大，可穿透当前技术条件下的任何软体硬体还原！基本无法靠还原抵挡。已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。

机器狗是一个木马下载器，感染后会自动从网路上下载木马、病毒，危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动档案，与原系统中还原软体驱动进行硬碟控制权的争夺，并通过替换userinit.exe档案，实现开机启动。

2008年春，一款名为“机器狗”的木马在网上大规模传播。“机器狗木马”据称是比“熊猫烧香”还毒的木马程式，具有变种众多、传播方式和途径多样化的特徵。 而2008年五一期间该木马的诸多变种更是来势汹汹，一方面其传播手段更为广泛：通过网页挂马、第三方软体漏洞等方式大肆传播；以另一方面破坏性也比过去更强：该木马採用替换系统档案方式，加速自身启动速度，同时让普通防毒软体简单方式查杀后对系统造成严重性后果。

机器狗，是一种病毒下载器，它可以给用户的电脑下载大量的木马、病毒、恶意软体、外挂程式等。一旦中招，用户的电脑便随时可能感染任何木马、病毒，这些木马病毒会疯狂地盗用用户的隐私资料（如帐号密码、私密档案等），也会破坏作业系统，使用户的机器无法正常运行，它还可以通过内部网路传播、下载随身碟病毒和Arp攻击病毒，能引发整个网路的电脑全部自动重启。对于网咖而言，机器狗就是剑指网咖而来，针对所有的还原产品设计，其破坏力可能会很快会超过熊猫烧香。

机器狗木马它採用驱动级技术代码写成，破坏力远超熊猫烧香。一旦中了机器狗木马，电脑就会被远程控制，危害极

大。不仅如此，中招的用户电脑还会被远程控制，成为彻底的“肉鸡”。这些“肉鸡”能够联合起来向其他电脑进行攻击。因此，有效杜绝机器狗木马四代的传播渠道，不仅是保护用户自己电脑的安全，同时也是对其他用户电脑进行保护。区域网路中一旦有一台电脑中招，就有可能导致整个网路瘫痪。

临时解决方案：一是封IP58.221.254.103，二是在c:windowssystem32drivers下建立免疫档案：pcihdd.sys。

更为可怕的是机器狗病毒对还原精灵有一定的穿透能力，所以想通过还原精灵解决中毒计算机往往是办不到的，另外机器狗病毒专杀工具RavMonEKiller是当前唯一一款可以查杀所有机器狗病毒及其变种病毒的工具，实现检测和清除、修复感染机器狗病毒的磁碟和档案，对机器狗病毒的未知变种具备侦测和处理能力，可以处理所知的所有机器狗病毒家族和相关变种。在清除时一定要先打上机器狗免疫补丁，补丁结束病毒进程的运行，否则病毒将无法清除。

机器狗木马病毒是一种高危型魔兽世界盗号木马，中了之后程式会在合适的时间给用户伪造一个掉线页面，重新登入时显示出的密保卡序列和木马方的登入序列一样，输入了数字后那边就登入成功，上号后自动炉石，走到附近的信箱把金币邮寄出去，全程不超过一分钟，非常危险！

“机器狗”病毒运行后，会在%WinDir%\System32\drivers目录下释放出一个名为pcihdd.sys的驱动程式，该档案会接管冰点或者硬碟保护卡对硬碟的读写操作，这样该病毒就破解了还原系统的保护，使冰点、硬碟保护卡实效。接着，该病毒会利用MS06-014和MS07-017系统漏洞和等多个套用软体漏洞，从http://xx.exiao***.com/、http://www.h***.biz/、http://www.xqh***.com/等恶意网址下载多款网游木马，盗取包括传奇、魔兽世界、征途、奇蹟等多款网游帐号和密码，严重威胁游戏玩家数字财产的安全。正因为冰点还原软体和硬碟保护卡大多在网咖使用，因此网咖成为该病毒发作的重灾区。 一旦发现电脑工作异常，立刻下载机器狗木马专杀工具并进行查杀，确保电脑安全。机器狗已变异至四代，专家称机器狗四代已成为史上最强系统破坏王，破坏力远超熊猫烧香。

新旧版本的特徵

1：新版本“机器狗”病毒採用VC++6.0编写，老版本“机器狗”病毒採用彙编编写

2：新版本“机器狗”病毒採用UPX加壳，老版本“机器狗”病毒採用未知壳。

3：新版本“机器狗”病毒驱动档案很小(1,536位元组)，老版本“机器狗”病毒驱动档案很大(6,768位元组)。

4：新版本“机器狗”病毒安装驱动后没有执行卸载删除操作，老版本“机器狗”病毒安装驱动工作完毕后会卸载删除。

5：新版本“机器狗”病毒针对的是系统“conime.exe”、“ctfmon.exe”和“explorer.exe”程式档案，老版本“机器狗”病毒只针对系统“userinit.exe”档案。

6：新版本“机器狗”病毒没有对注册表进行操作，老版本“机器狗”病毒有对注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”项进行操作

7：新版本“机器狗”病毒去到系统dllcache资料夹下调用真实系统档案运行，老版本“机器狗”病毒没有到系统dllcache资料夹下调用真实系统档案运行。

8：老版本“机器狗”病毒採用的是黑色机器小狗图案的图示，新版本机器狗病毒和程式图示不定。

比较明显的就是电脑变慢，会当机，会蓝屏。用防毒软体或木马查杀软体可以查出几百个病毒档案，相当吓人。

据了解，机器狗病毒可藉助ARP病毒传播，在企业区域网路内蔓延，危害极大。 方法1：打开C:\WINDOWS\system32资料夹（或打开系统对应目录），找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe档案，点击右键查看档案的属性，若在属性视窗中看不到档案的版本标籤则说明该档案已经被病毒替换系统已经染毒。

方法2：双击瑞星防毒软体的捷径，以及卡卡上网安全助手的捷径，没有任何反应（不是视窗打开后迅速关闭或报错崩溃）。

方法3：如果360无法打开或者打开之后被关闭,系统变的非常慢,系统时间莫名其妙被更改.\"我的电脑"\的图示不正确,输入法无法打开，说明可能中了机器狗。

方法4：机器狗木马四代是一种高危的感染型木马，用户一旦中招，在任务管理器中就会出现两个EXPLORER.EXE或explorer.exe进程。另一个明显特徵是，感染病毒应用程式无法运行，同时伴随CPU满负荷，电脑风扇运转过快等外部表现。

1、替换系统常见进程，让自身被自动执行的机率提高，被防毒软体直接查杀的话会造成比较严重的系统问题 替换系统常见进程，让自身被自动执行的机率提高

採用替换系统档案而非感染形式，让防毒软体直接查杀导致严重系统问题，给用户造成巨大损失

採用该方式还可以穿透网咖还原软体，还原卡，导致网咖系统无论如何重启还原也不能恢复到原始安全状态

2、到指定的网站后台下载盗号木马并执行

会下载大量不同类型盗号木马，如较为猖獗的拼音倒写木马

3、关闭安全类软体

1、由于机器狗病毒是藉助于ARP欺骗的方式在区域网路中传播，因此做好ARP欺骗的防範工作十分必要。有条件的网咖和企业，可以採用双向绑定策略，在交换机或路由器上绑定好全网的IP-MAC地址，在客户端绑定好网关的IP-MAC。这样即便是区域网路中某台电脑感染了ARP病毒，该电脑也不会干扰全网的运行。双向绑定策略是抵御ARP病毒的好办法。如果不具备双向绑定的条件，可以採用划分VLAN的方法，来隔离网路的不同区域，这样可以把ARP病毒的危害降低到最小。 2、更新好系统漏洞补丁，尤其是网页木马常用漏洞：MS06-014和MS07-017。绝大部分的网页木马都是利用以上两个系统漏洞入侵到计算机中的，因此打好补丁十分关键。

3、注意套用软体版本的及时更新。“机器狗”病毒除了利用以上两个系统漏洞通过网页木马的方式入侵到电脑中，还利用最为流行的套用软体漏洞进行挂马传播，例如一些聊天工具漏洞、播放器软体漏洞、网路电视软体漏洞、游戏软体漏洞、甚至是一些常用的下载工具的漏洞都会成为病毒的传播途径。由于套用软体的用户群体更为广泛，这也就成了病毒作者传播病毒的又一“利器”。因此要注意软体的版本，一定要使用从官方网站下载的最新版本的软体，这点十分重要，不要使用老版本，因为老版本有很多漏洞。

4、禁用Windows系统的自动播放功能。这一点对个人用户来说同样重要，由于“机器狗”病毒还会利用随身碟传播，因此如果随身碟中含有此病毒时，如果直接双击打开随身碟，就会激活病毒，从而感染进电脑中。建议用户通过组策略的方式禁用随身碟的自动播放功能。

关闭自动播放功能方法如下：在“开始”选单的“运行”框中运行“gpedit.msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”选单中的“关闭自动播放”的设定，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。江民防毒软体“移动存储接入防毒”能杜绝病毒利用移动设备（如：随身碟、移动硬碟等）入侵用户计算机，保护计算机系统安全。

5、及时升级防毒软体病毒库，上网时确保打开“网页监控”、“邮件监控”功能。

6.已中“机器狗木马”的用户要下载专杀工具查杀，未中该木马的用户也可通过专杀工具进行免疫，预防机器狗木马入侵勾选“免疫”选项并扫描，如果未中该木马也可进行免疫。

7.下载360安全卫士直接查杀

360安全卫士最新版本也会对机器狗进行全面查杀，并且将被替换的系统档案恢复为正常

8.下载修复工具进行查杀

若360安全卫士无法打开，可以下载360修复工具进行修复

9.人工简单判断是否有新变种

如果360安全卫士检测无问题，可採用人工简单检测方式查看是否出现新的变种

（a）安全类软体是否无法开启

（b）检查常用系统档案图示是否正常，查看属性是否有完整的版本信息，如果图示不正常，又缺乏完整版本信息，极有可能就是机器狗病毒