机器狗 （被称为2008毒王的一个木马下载器类病毒）

简介

“机器狗”病毒在夺取磁盘的读写操作权限后，会针对正常文件在硬盘中所存放的物理地址以覆盖的方式去写入相应的恶意代码，不仅能达到穿透还原卡的目的，还能穿透杀毒软件的文件监控保护。“机器狗”病毒是代理木马系列病毒的变种，实质是一个木马下载器，电脑遭攻击后会自动从网络上下载木马、病毒与恶意软件、插件，盗取用户的隐私资料等，甚至造成系统瘫痪。

根据金山软件发布的《2008年上半年中国电脑病毒疫情及互联网安全报告》显示，“机器狗”的病毒因其发作时间之长、影响范围之大成为2008毒王。该病毒是2008年度使反病毒公司第一个启动红色警报的病毒。

爆发过程

2007年8月29日，在网络社区里出现了一种病毒样本，这个病毒没有名字，因图标酷似索尼公司制造的机器狗，于是便称它为“机器狗”病毒。

2007年11月22日，一网吧业主向江民反病毒工程师反映，他的网吧发生出现了一种奇怪的病毒，网吧电脑安装了硬盘保护卡，重启后系统会自动还原，而硬盘保护卡突然失效，系统文件里出现了一个小狗的图案，运行也很慢。而且已经有网络游戏玩家在网吧丢失游戏账号。与此同时，不少网吧业主也纷纷向江民病毒中心求助，称遭遇到新病毒侵袭。 在提取了病毒样本后，反病毒专家分析认为，该网吧是中了一种名为“机器狗”的新型木马。该木马借助ARP病毒大肆传播，可以突破“冰点还原”等系统还原软件，还可以突破一些常见的硬盘保护卡，使系统还原保护失效。在突破硬盘保护卡后，该病毒会下载多个恶性网游木马，盗取常见的网络游戏的账号和密码，使用户遭受巨大损失。

2008年3月，金山毒霸全球反病毒监测中心发布最新紧急病毒预警，称"机器狗”新变种正在大规模爆发。与以往”机器狗”变种不同，该新变种破坏性更强，用户感染后启动系统输入口令登录时，出现反复注销。多款杀毒软件无法正常使用，尤其是对一些网吧以及学校机房等场所，即使系统还原，也不能将”机器狗“写入的驱动文件删除。金山毒霸反病毒专家李铁军表示，近期发现"机器狗病毒异常活跃，该病毒因为最初的版本采用电子狗的照片做图标而被网民命名为“机器狗"病毒，其变种繁多，多表现出杀毒软件不能正常运行。该新变种病毒通过特殊技术直接改写系统文件，病毒驱动程序抢在系统还原卡驱动程序之前加载。

2008年8月，根据金山软件发布的《2008年上半年中国电脑病毒疫情及互联网安全报告》显示，“机器狗”的病毒因其发作时间之长、影响范围之大成为“毒”王。甚至杭州顺网信息技术有限公司宣布悬赏50万元捉拿该病毒元凶。与此同时，在杭州，热心网友组建的一支“打狗队”活跃于网络，通过QQ和MSN联络，治理病毒“机器狗”。

病毒介绍

“机器狗”病毒是代理木马系列病毒的变种，实质是一个木马下载器，主要攻击网吧和学校机房等一些公共局域网，通过“借刀杀人”的方式危害电脑，电脑遭攻击后会自动从网络上下载木马、病毒与恶意软件、插件，盗取用户的隐私资料等。最初电脑被病毒感染后会生成一个“机器狗”的图标，因此而得名。

“机器狗”病毒运行后会释放一个名为“pcihdd.sys”的底层硬盘驱动文件到“drivers”目录，通过提高优先级来接替还原卡的硬盘驱动，去操作真实的磁盘I/O端口，并向真实的磁盘中执行修改覆盖，"userinit.exe”或“ctfmon.exe”“conime.exe”“explorer.exe”目标文件操作，实现彻底的隐蔽开机启动。也就是说“机器狗”病毒获得了磁盘的读写操作权限后，针对那些正常文件在硬盘中所存放的物理地址进行以覆盖的方式去写入相应的恶意代码，不仅能达到穿透还原卡的目的，还穿透杀毒软件的文件监控保护。

“机器狗”病毒并没有破坏硬盘保护卡驱动文件.虽然“机器狗”病毒运行后下载了很多其它恶意程序并安装运行，但重新启动计算机后，这些都会被硬盘保护卡还原掉，只是那些被修改覆盖的真实磁盘文件没有被还原。系统中的userinit.exe文件能够判断计算机是否中了“机器狗”病毒，该文件在系统目录的system32文件夹中，如果该文件的属性窗口看不到该文件的版本标签，则说明已经中了“机器狗”病毒。

病毒危害

毁坏电脑系统：进入系统后修改注册表，让几乎所有安全软件不能正常使用，造成系统瘫痪。

泄露个人隐私：在用户无法察觉的情况下连接网络，自动在用户的电脑里下载大量木马、病毒、恶意软件、插件等，这些木马病毒能够窃取用户的账号密码、私密文件等各种隐私资料。

破坏局域网：通过第三方软件漏洞，下载U盘病毒和ARP攻击病毒的方式进行疯狂扩散传播，造成整个局域网瘫痪。

毁坏文件：将恶意代码向真实的磁盘中执行修改覆盖目标文件，导致被修改覆盖的真实磁盘文件无法被还原，系统重新启动后，会再次下载安装运行之前的恶意程序，造成系统运行缓慢，甚至瘫痪。

中毒症状

该病毒以网吧为主要攻击目标，网吧电脑普遍安装有硬盘还原卡，系统会在重启电脑后自动还原到初始状态，普通的病毒无法生存，但机器狗病毒可以突破“冰点还原”等系统还原软件和一些常见的硬盘保护卡，私自下载木马软件盗取玩家的游戏账号和密码。由于“机器狗”病毒的不断升级、变种，感染后出现的症状也不尽相同。比如：登录系统后立即注销，任务栏输入法消失；启动后桌面丢失，explorer.exe进程无法启动；开机出现蓝屏，无法登录系统；打开“我的电脑”或者IE时，在只开一个窗口的情况下，把打开的窗口关闭，桌面进程就会重启。

传播形式

局域网传播：借助于ARP欺骗方式在局域网中传播。

漏洞传播：利用系统漏洞及IE插件的缓冲区溢出漏洞，尤其是网页木马常用漏洞MS06-014和MS07-017进行传播。

挂马传播：利用应用软件漏洞进行挂马传播，例如一些聊天工具漏洞、播放器软件漏洞、网络电视软件漏洞、游戏软件漏洞，甚至是一些常用的下载工具的漏洞都会成为病毒的传播途径。

设备传播：利用U盘等可移动存储设备传播。

相关事件

“机器狗病毒”事件在社会上引起了大众媒体的广泛讨论，《新华社》《解放日报》《青年报》《北京晨报》等中国的主流媒体均对该事件进行了报道。

金山发布的《2008年上半年中国电脑病毒疫情及互联网安全报告》显示，机器狗病毒以其极高的危害性和传播率成为“2008毒王”，截止至2008年8月5日，累计造成了至少80亿人民币的经济损失。杭州顺网科技发布了“机器狗通缉令”，悬赏50万元寻找“机器狗”病毒制作者，是2008年企业悬赏金额最高的病毒通缉令。

2008年，在杭州组织成立了一只“打狗队”来追踪病毒作者。截止2008年9月17日，在网维论坛，规模最大的“打狗队”已有500名成员，成员大多数是网维公司的技术人员、管理人员和网吧管理者。他们活跃于网络，通过QQ和MSN联络，治理互联网上病毒“机器狗”。但“机器狗”背后是也一支庞大的队伍，利用病毒盗号来达到赚钱的目的。