病毒名称：机器狗木马,机器狗病毒

病毒中文名：机器狗木马,机器狗病毒

病毒描述：机器狗木马,机器狗病毒可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息。
　　通过对病毒样本进行分析，我们研判此病毒极有可能为硬盘保护业内或者网吧业内的技术人员所开发，并主要针对网吧用户。而且日前传播的病毒版本仍然为带有调试信息的工程测试版本，更成熟的版本相信会更具备破坏力。

机器狗木马病毒是用一个C语言编写的木马病毒。病毒运行后会删除系统目录下的userinit.exe，并建立一个包含病毒的userinit.exe，随系统每次启动时加载到系统中。此文件运行后会在系统的SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加一

系列反病毒软件和安全工具的键值，使这些软件和工具无法正常运行。另外病毒还会尝试注入IE进程通过互联网下载病毒的更新，达到躲避查杀与侦测的目的。

机器狗病毒的判断方法：

方法1：打开C:\WINDOWS\system32文件夹 （或打开系统对应目录），找到userinit.exe、explorer.exe点击右键查看文件的属性，若在属性窗口中看不到文件的版本标签则说明该文件已经被病毒替换系统已经染毒。

方法2：双击瑞星杀毒软件的快捷方式，以及卡卡上网安全助手的快捷方式，没有任何反应（不是窗口打开后迅速关闭或报错崩溃）。

　故障现象:机器狗病毒为一个木马下载器，病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡，可通过以下几方面查看是否已中毒。

1、激发病毒后会在SYSTEM32下修改userinit.exe ，可通过查看版本信息看出，该文件在系统目录的 system32 文件夹中，点击右键查看属性，如果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗，如果有版本标签则正常。

2、查看DRVERS目录下产生pcihdd.sys驱动文件，会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项，并在windows目录会产生以上相应文件，机器重启后以上设置都会真实保存。