机械狗木马是用一个C语言编写的木马病毒。病毒运行后会删除系统目录下的userinit.exe，并建立一个包含病毒的userinit.exe，随系统每次启动时加载到系统中。此文件运行后会在系统的

来历

详细介绍

特征原理

判断方法

现象及危害

防御建议

来历

曾经有很多人说有穿透还原卡、冰点的病毒，但是在各个论坛都没有样本证据，直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字，图标是SONY的机器狗阿宝，就像前辈“熊猫烧香”一样，大家给它起了个名字叫机器狗。 此病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透当前技术条件下的任何软件硬件还原！基本无法靠还原抵挡。已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。

机器狗是一个木马下载器，感染后会自动从网络上下载木马、病毒，危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中还原软件驱动进行硬盘控制权的争夺，并通过替换userinit.exe文件，实现开机启动。

详细介绍

2008年春，一款名为“机器狗”的木马在网上大规模传播。“机器狗木马”据称是比“熊猫烧香”还毒的木马程序，具有变种众多、传播方式和途径多样化的特征。 而2008年五一期间该木马的诸多变种更是来势汹汹，一方面其传播手段更为广泛：通过网页挂马、第三方软件漏洞等方式大肆传播；以另一方面破坏性也比过去更强：该木马采用替换系统文件方式，加速自身启动速度，同时让普通杀毒软件简单方式查杀后对系统造成严重性后果。

机器狗，是一种病毒下载器，它可以给用户的电脑下载大量的木马、病毒、恶意软件、插件等。一旦中招，用户的电脑便随时可能感染任何木马、病毒，这些木马病毒会疯狂地盗用用户的隐私资料（如帐号密码、私密文件等），也会破坏操作系统，使用户的机器无法正常运行，它还可以通过内部网络传播、下载U盘病毒和Arp攻击病毒，能引发整个网络的电脑全部自动重启。对于网吧而言，机器狗就是剑指网吧而来，针对所有的还原产品设计，其破坏力可能会很快会超过熊猫烧香。

机器狗木马它采用驱动级技术代码写成，破坏力远超熊猫烧香。一旦中了机器狗木马，电脑就会被远程控制，危害极

大。不仅如此，中招的用户电脑还会被远程控制，成为彻底的“肉鸡”。这些“肉鸡”能够联合起来向其他电脑进行攻击。因此，有效杜绝机器狗木马四代的传播渠道，不仅是保护用户自己电脑的安全，同时也是对其他用户电脑进行保护。局域网中一旦有一台电脑中招，就有可能导致整个网络瘫痪。

临时解决方案：一是封IP58.221.254.103，二是在c:windowssystem32drivers下建立免疫文件：pcihdd.sys。

更为可怕的是机器狗病毒对还原精灵有一定的穿透能力，所以想通过还原精灵解决中毒计算机往往是办不到的，另外机器狗病毒专杀工具RavMonEKiller是当前唯一一款可以查杀所有机器狗病毒及其变种病毒的工具，实现检测和清除、修复感染机器狗病毒的磁盘和文件，对机器狗病毒的未知变种具备侦测和处理能力，可以处理所知的所有机器狗病毒家族和相关变种。在清除时一定要先打上机器狗免疫补丁，补丁结束病毒进程的运行，否则病毒将无法清除。

机器狗木马病毒是一种高危型魔兽世界盗号木马，中了之后程序会在合适的时间给用户伪造一个掉线页面，重新登陆时显示出的密保卡序列和木马方的登陆序列一样，输入了数字后那边就登陆成功，上号后自动炉石，走到附近的邮箱把金币邮寄出去，全程不超过一分钟，非常危险！

特征原理

“机器狗”病毒运行后，会在%WinDir%\\System32\\drivers目录下释放出一个名为pcihdd.sys的驱动程序，该文件会接管冰点或者硬盘保护卡对硬盘的读写操作，这样该病毒就破解了还原系统的保护，使冰点、硬盘保护卡实效。接着，该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞，从http://xx.exiao***.com/、http://www.h***.biz/、http://www.xqh***.com/等恶意网址下载多款网游木马，盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码，严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用，因此网吧成为该病毒发作的重灾区。 一旦发现电脑工作异常，立刻下载机器狗木马专杀工具并进行查杀，确保电脑安全。机器狗已变异至四代，专家称机器狗四代已成为史上最强系统破坏王，破坏力远超熊猫烧香。

新旧版本的特征

1：新版本“机器狗”病毒采用VC++6.0编写，老版本“机器狗”病毒采用汇编编写

2：新版本“机器狗”病毒采用UPX加壳，老版本“机器狗”病毒采用未知壳。

3：新版本“机器狗”病毒驱动文件很小(1,536字节)，老版本“机器狗”病毒驱动文件很大(6,768字节)。

4：新版本“机器狗”病毒安装驱动后没有执行卸载删除操作，老版本“机器狗”病毒安装驱动工作完毕后会卸载删除。

5：新版本“机器狗”病毒针对的是系统“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件，老版本“机器狗”病毒只针对系统“userinit.exe”文件。

6：新版本“机器狗”病毒没有对注册表进行操作，老版本“机器狗”病毒有对注册表“HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon”项进行操作

7：新版本“机器狗”病毒去到系统dllcache文件夹下调用真实系统文件运行，老版本“机器狗”病毒没有到系统dllcache文件夹下调用真实系统文件运行。

8：老版本“机器狗”病毒采用的是黑色机器小狗图案的图标，新版本机器狗病毒和程序图标不定。

判断方法

比较明显的就是电脑变慢，会死机，会蓝屏。用杀毒软件或木马查杀软件可以查出几百个病毒文件，相当吓人。

据了解，机器狗病毒可借助ARP病毒传播，在企业局域网内蔓延，危害极大。 方法1：打开C:\\WINDOWS\\system32文件夹（或打开系统对应目录），找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件，点击右键查看文件的属性，若在属性窗口中看不到文件的版本标签则说明该文件已经被病毒替换系统已经染毒。

方法2：双击瑞星杀毒软件的快捷方式，以及卡卡上网安全助手的快捷方式，没有任何反应（不是窗口打开后迅速关闭或报错崩溃）。

方法3：如果360无法打开或者打开之后被关闭,系统变的非常慢,系统时间莫名其妙被更改.\\"我的电脑"\\的图标不正确,输入法无法打开，说明可能中了机器狗。

方法4：机器狗木马四代是一种高危的感染型木马，用户一旦中招，在任务管理器中就会出现两个EXPLORER.EXE或explorer.exe进程。另一个明显特征是，感染病毒应用程序无法运行，同时伴随CPU满负荷，电脑风扇运转过快等外部表现。

现象及危害

1、替换系统常见进程，让自身被自动执行的机率提高，被杀毒软件直接查杀的话会造成比较严重的系统问题 替换系统常见进程，让自身被自动执行的机率提高

采用替换系统文件而非感染形式，让杀毒软件直接查杀导致严重系统问题，给用户造成巨大损失

采用该方式还可以穿透网吧还原软件，还原卡，导致网吧系统无论如何重启还原也不能恢复到原始安全状态

被替换系统文件　系统文件说明　若直接删除后会导致的系统问题

C:\\windows\\system32\\userinit.exe　系统登录相关文件　导致永远在“欢迎使用”的登录画面，输入完密码登录后迅速又注销到登录画面

C:\\windows\\Explorer.exe　桌面和资源管理器主进程　导致用户电脑启动后，只有背景、没有桌面、没有图标、没有开始菜单和任务栏

C:\\windows\\system32\\ctfmon.exe　系统输入法控制程序相关　导致用户的输入法控制将会变得异常　2、到指定的网站后台下载盗号木马并执行

会下载大量不同类型盗号木马，如较为猖獗的拼音倒写木马

3、关闭安全类软件

防御建议

1、由于机器狗病毒是借助于ARP欺骗的方式在局域网中传播，因此做好ARP欺骗的防范工作十分必要。有条件的网吧和企业，可以采用双向绑定策略，在交换机或路由器上绑定好全网的IP-MAC地址，在客户端绑定好网关的IP-MAC。这样即便是局域网中某台电脑感染了ARP病毒，该电脑也不会干扰全网的运行。双向绑定策略是抵御ARP病毒的好办法。如果不具备双向绑定的条件，可以采用划分VLAN的方法，来隔离网络的不同区域，这样可以把ARP病毒的危害降低到最小。 2、更新好系统漏洞补丁，尤其是网页木马常用漏洞：MS06-014和MS07-017。绝大部分的网页木马都是利用以上两个系统漏洞入侵到计算机中的，因此打好补丁十分关键。

3、注意应用软件版本的及时更新。“机器狗”病毒除了利用以上两个系统漏洞通过网页木马的方式入侵到电脑中，还利用最为流行的应用软件漏洞进行挂马传播，例如一些聊天工具漏洞、播放器软件漏洞、网络电视软件漏洞、游戏软件漏洞、甚至是一些常用的下载工具的漏洞都会成为病毒的传播途径。由于应用软件的用户群体更为广泛，这也就成了病毒作者传播病毒的又一“利器”。因此要注意软件的版本，一定要使用从官方网站下载的最新版本的软件，这点十分重要，不要使用老版本，因为老版本有很多漏洞。

4、禁用Windows系统的自动播放功能。这一点对个人用户来说同样重要，由于“机器狗”病毒还会利用U盘传播，因此如果U盘中含有此病毒时，如果直接双击打开U盘，就会激活病毒，从而感染进电脑中。建议用户通过组策略的方式禁用U盘的自动播放功能。

关闭自动播放功能方法如下：在“开始”菜单的“运行”框中运行“gpedit.msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，保护计算机系统安全。

5、及时升级杀毒软件病毒库，上网时确保打开“网页监控”、“邮件监控”功能。

6.已中“机器狗木马”的用户要下载专杀工具查杀，未中该木马的用户也可通过专杀工具进行免疫，预防机器狗木马入侵勾选“免疫”选项并扫描，如果未中该木马也可进行免疫。

7.下载360安全卫士直接查杀

360安全卫士最新版本也会对机器狗进行全面查杀，并且将被替换的系统文件恢复为正常

8.下载修复工具进行查杀

若360安全卫士无法打开，可以下载360修复工具进行修复

9.人工简单判断是否有新变种

如果360安全卫士检测无问题，可采用人工简单检测方式查看是否出现新的变种

（a）安全类软件是否无法开启

（b）检查常用系统文件图标是否正常，查看属性是否有完整的版本信息，如果图标不正常，又缺乏完整版本信息，极有可能就是机器狗病毒