机器狗病毒[编辑]

     2007年，一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件 userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息。

来历

曾经有很多人说有穿透还原卡、冰点的病毒，但是在各个论坛都没有样本证据，直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字，图标是SONY的机器狗阿宝，就像前辈熊猫烧香一样，大家给它起了个名字叫机器狗。

此病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的大部分的软件硬件还原！基本无法靠还原抵挡。目前已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。

机器狗是一个木马下载器，感染后会自动从网络上下载木马、病毒，危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中还原软件驱动进行硬盘控制权的争夺，并通过替换userinit.exe文件，实现开机启动。

病毒分析　　

病毒名称：Trojan/Agent.pgz

中 文 名：机器狗

病毒类型：木马

危害等级：★★★

影响平台：Win 9X/ME/NT/2000/XP/2003

病毒运行特征：

机器狗病毒运行后，会在%WinDir%System32drivers 目录下释放出一个名为pcihdd.sys 的驱动程序，该文件会接管冰点或者硬盘保护卡对硬盘的读写操作，这样该病毒就破解了还原系统的保护，使冰点、硬盘保护卡失效。接着，该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞，从http://xx.exiao***.com/ 、http://www.h***.biz/
、http://www.xqh***.com/ 等恶意网址下载多款网游木马，盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码，严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用，因此网吧成为该病毒发作的重灾区。该病毒还会随着ARP病毒传播，因此对局域网杀伤性极大。

入侵方法　　

机器狗本身会释放出一个pcihdd.sys到drivers目录，pcihdd.sys是一个底层硬盘驱动，提高自己的优先级接替还原卡或冰点的硬盘驱动，然后访问指定的网址，这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器，最可怕的是，会通过内部网络传播，一台中招，能引发整个网络的电脑全部自动重启。

重点是，一个病毒，如果以hook方式入侵系统，接替硬盘驱动的方式效率太低了，而且毁坏还原的方式这也不是最好的，还有就是这种技术应用范围非常小，只有还原技术厂商范围内有传播，在这方面国际上也只有中国在用，所以，很可能就是行业内杠。

对于网吧而言，机器狗就是剑指网吧而来，针对所有的还原产品设计，可预见其破坏力很快会超过熊猫烧香。好在现在很多免疫补丁都以出现，发稿之日起，各大杀毒软件都以能查杀。

免疫补丁之争

现在的免疫补丁之数是疫苗形式，以无害的样本复制到drivers下，欺骗病毒以为本身已运行，起到阻止危害的目的。这种形式的问题是，有些用户为了自身安全会在机器上运行一些查毒程序（比如QQ医生之类）。这样疫苗就会被误认为是病毒，又要废很多口舌。

 如何识别　　

是否中了机器狗的关键就在 Userinit.exe 文件，该文件在系统目录的 system32 文件夹中，右键点击一个应用程序，后缀为dll或exe的（记事本格式的属性没有版本）单看属性。如

果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗。如果有版本标签则正常。

故障现象

机器狗病毒为一个木马下载器，病毒采用hook系统的磁盘设备栈来达到穿透目的的，

危害极大，可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡，可通过以下几方面查看是否已中毒：1、激发病毒后会在SYSTEM32下修改userinit.exe ，可通过查看版本信息看出，该文件在系统目录的 system32

文件夹中，点击右键查看属性，如果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗，如果有版本标签则正常。2、查看DRVERS目录下产生pcihdd.sys驱动文件，会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项，并在windows目录会产生以上相应文件，机器重启后以上设置都会真实保存.

解决方法

如果您想彻底防御机器狗病毒，现在有了一种硬件型防御方案可以考虑，就是蓝芯防毒卡，这个卡从技术原理上来说，物理上直接接管了硬盘读写，也就是说，硬盘先接到防毒卡上，防毒卡再通过下一代高速硬盘接口PCI-E接到主板上（针对老一代主板也有PCI接口的规格）。这样防毒卡得以获得防御病毒的最坚实的一道把关口，让我们彻底防御机器狗病毒。从理论上来说，只要计算机体系还是冯诺依曼体系，只要病毒还是软件手段，就可以防止任何已知或未知的机器狗穿透方式的破坏了。

网络营销词典内容均由网友提供，仅供参考。如发现词条内容有问题，请发邮件至info # wm23.com。