新版「機器狗」勾結AV終結者破壞性猛增

近期發現「機器狗」病毒再度氾濫，該病毒因為最初的版本採用電子狗的照片做圖標而被網民命名為「機器狗」病毒，該病毒的變種繁多，多表現出殺毒軟體不能正常運行，啟動系統輸入口令登錄時，出現反覆註銷等問題。

自3月1日起，一個機器狗病毒的新變種異常活躍，與以往機器狗變種不同，最新版本的機器狗病毒破壞性更強，而且更加頑固，很難徹底清除。大量用戶電腦遭遇該病毒破壞，尤其是對一些網吧以及學校機房等場所破壞巨大。金山毒霸反病毒專家李鐵軍指出，該機器狗新變種可下載29種其他病毒，其危害性主要表現為以下三個方面：

1、瞞天過海－－修改進程使安全軟體失效

最新版本的機器狗病毒，在入侵成功後，下載了29個其它木馬，其中有一個AV終結者病毒的變種，該變種「有些技術含量」，其抗殺能力更強。在「機器狗」和AV終結者的聯手打擊下，中毒電腦會很慘。病毒進入系統後修改註冊表，讓幾乎所有安全軟體不能正常使用。據分析，該病毒針對多款殺毒軟體的自保護功能進行改進，會令自保護功能失效。當前頁面有殺毒、專殺、機器狗字樣時，窗口會被關閉，普通用戶可能不得不重裝。

2、暗渡陳倉－－暗自下載各種木馬病毒

病毒在用戶無法察覺的情況下連接網絡，自動在用戶的電腦裡下載大量木馬、病毒、惡意軟體、插件等。這些木馬病毒能夠竊取用戶的賬號密碼、私密文件等各種隱私資料，（插一句，有人開始還懷疑陳冠希電腦中了此毒，導致大量艷照洩露）甚至破壞操作系統，使用戶的機器無法正常運行。還通過第三方軟體漏洞、下載USB隨身碟病毒和Arp攻擊病毒的方式進行瘋狂擴散傳播，造成整個局域網癱瘓。

3、死纏爛打－－難以徹底查殺

病毒將惡意代碼向真實的硬碟中執行修改覆蓋目標文件，就算用戶計算機安裝了「還原保護程序」，唯一那個被修改覆蓋的真實硬碟文件卻無法被還原。系統重新啟動後，由那個被修改覆蓋後的系統程序會再次下載安裝運行之前的惡意程序。因此該病毒生命力可謂相當頑強，被喻為－－打不死的「小強」。

李鐵軍表示，用戶電腦一旦感染了機器狗新變種病毒，打開C:/WINDOWS/system32文件夾(或打開系統對應目錄)，找到userinit.exe、explorer.exe點擊右鍵查看文件的屬性，若在屬性窗口中看不到文件的版本標籤則說明該文件已經被病毒替換。

據瞭解，機器狗病毒通過特殊技術直接改寫系統文件，病毒驅動程序搶在系統還原卡驅動程序之前加載，這令很多網吧或學校機房管理員頭疼不已。穿透網吧還原軟體，還原卡，導致網吧系統無論如何重啟還原也不能恢復到原始安全狀態。對網管來說，系統還原卡在電腦重啟時，對硬碟文件的修改自動還原到保護前的狀態是低成本的管理方法。而中了「機器狗」病毒之後，即使系統還原，也不能將機器狗寫入的驅動文件刪除。

此外，機器狗病毒對個人用戶的影響也同樣大。因為不管計算機系統是否安裝「還原保護系統」程序，都會同樣下載非常多的盜號木馬等惡意程序進行安裝運行，造成用戶虛擬財產的損失。如果用戶計算機硬體配置比較低或者存在所下載的多個惡意程序中出現相互不兼容現象的話，將導致用戶計算機系統崩潰掉無法啟動運行。

(