机器狗病毒是什么？
机器狗病毒是一种可以穿透各种还原软件与硬件还原卡的病毒。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息。

通过对病毒样本进行分析，我们研判此病毒极有可能为硬盘保护业内或者网吧业内的技术人员所开发，并主要针对网吧用户。而且日前传播的病毒版本仍然为带有调试信息的工程测试版本，更成熟的版本相信会更具备破坏力。

机器狗病毒的中毒症状是什么？
中毒症状是，打开我的电脑，或者打开IE，在只开一个窗口的情况下，把打开的窗口关闭，桌面进程就会重启。已经有玩家在网上论坛反映，游戏装备因此病毒而在网吧被疯狂盗取。

查看是否中了机器狗的关键就在 Userinit.exe 文件，该文件在系统目录的 system32 文件夹中，点击右键查看属性，如果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗。如果有版本标签则正常。

机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡。目前已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。

五代机器狗的防护历程

对穿透网维大师还原的历代机器狗样本分析，浅析机器狗的防护历程：
第一代、突破卷驱动层还原
第二代、突破DISK驱动层还原
第三代、突破atapi.sys驱动层还原
第四、五代机器狗、利用防火墙漏洞破坏驱动防火墙，实现穿透驱动加载

第一代机器狗分析：
第一代机器狗突破卷驱动层还原主要使用到了以下核心技术：清除\\Device\\Harddisk0\\DR0上的附加设备、自行分析文件系统、感染的文件是userinit。此病毒穿透6050版本客户端还原。顺网6052版本 9月3日发布解决此穿透问题。 核心代码分析

第二代机器狗分析：
第二代机器狗没有了文件系统分析工作而是使用虚拟磁盘映射真实磁盘的方法实现，解析工作完全交给了文件系统本身。完成了自己写入启动目录。 核心代码分析

第三代机器狗分析：
第三代机器狗首先会读取ftdisk.sys文件，从文件中获取atapi.sys的原始MajorFunction，读文件的过程是首先在PE区段内找到INIT，从而定位DriverEntry，从DriverEntry中读取DispatchRoutine的地址，搜索方法还是特征码办法。 核心代码分析

第四、五代机器狗分析：
从历代机器狗分析机器狗病毒需要实现穿透行为必然需要加载恶意驱动 2008．5．16 顺网经过几个月的兼容性测试推出了白名单形式驱动防火墙。从而病毒的实现模式上切断了其关键环节。进而阻止其穿透行为。

但是陆续顺网也接到一些破坏驱动防火墙并实现穿透行为的病毒样本。这些病毒样本通过不同的驱动防火墙漏洞，恶意破坏驱动防火墙核心，导致防火墙功能异常及失效，从而实现穿透行为。顺网严重重视到防火墙自身安全的重要性的同时加紧研发速度旨在为用户打造优秀及安全的驱动防火墙而努力。全新的驱动防火墙会在近期新版本中集成并发布，目前正在进行内部兼容性测试，请用户耐心期待全新防火墙的面世。

穿透还原机制：揭开机器狗病毒的秘密

磁盘保护驱动工作在文件过滤系统之下，磁盘过滤驱动（disk.sys）之上，将上层对于磁盘的访问定位到自己的处理过程。
感染了“机器狗”病毒后，最显著的一个特征是，EXE文件图标变为sony的机器狗“阿宝”，因此被称为“机器狗”病毒。“机器狗”病毒运行后，会在“％WinDir％\System32\drivers”目录下释放出一个名为“pcihdd.sys”的驱动程序，该文件会接管冰点或者硬盘保护卡对硬盘的读写操作，这样病毒就破解了还原系统的保护，使硬盘保护卡的还原系统功能失效，从而达到转存病毒的效果。病毒还会感染“userinit.exe”系统文件，会出现登录系统后立即注销的情况。

“机器狗”病毒具备下载者木马的特点，会不断从网上下载数十种新木马，危害十分严重。除此之外，机器狗还有一些特殊的特点：病毒会感染硬盘中所有EXE文件，速度非常快而且不占内存和CPU；木马会利用IPC$弱口令自动进行内网和外网扫描传播。最特殊的是，病毒采用了最新的“ARP挂马”方式，通过ARP欺骗，在所有内网中的电脑访问任意网站时，在网页代码里加上挂马代码，导致内网用户全部感染木马病毒。