【IT168 专稿】在最近一段时间的流行病毒“恶名榜”上，一种被称之为“机器狗”的恶性网络架构木马型病毒榜上有名。“机器狗”病毒是一种可以穿透还原软件(如冰点还原和其他还原精灵等)与硬件还原卡的新型病毒，目前有多个病毒变种。此病毒可以通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权，并可以通过修改用户C:\WINDOWS\system32\userinit.exe初始化文件来进行自我伪装和隐藏。此病毒最大的危害之一就是病毒穿透还原软件后将自己保存在系统中，进而定期从指定的网站下载各种木马程序来截取用户的《传奇》、《魔兽世界》、《征途》、《奇迹》等多款网络游戏的账号和密码。

　　不过近日笔者意外获悉，DSWLAB(超级巡警团队)率先在业界发布了第一款专门针对“机器狗”病毒专杀工具——超级巡警之机器狗病毒专杀。这款非常小巧的“机器狗”病毒专杀工具不仅可以彻底查杀目前猖獗的“机器狗”病毒及其多个变种、自动穿透相应还原系统进行还原修复，而且还同时提供了对“机器狗”病毒的免疫。为了实际验证该专杀工具对“机器狗”病毒的查杀效果，笔者对其进行了一番现场测试。

　　一、在系统中植入病毒样本

　　大家知道，身受“机器狗”病毒其害的，是像学校和网吧等这样大规模使用系统还原工具的场所，所以笔者经过了一番周折，找到了一台校园内使用硬件还原卡的电脑作为测试机器。该电脑使用是Windows XP SP2操作系统，在NOD32杀毒软件文件防火墙开启的状态下，笔者随便运行了一个随机提取的“机器狗”病毒样本，NOD32杀毒软件立即进行了拦截，这说明“机器狗”病毒样本没有问题(如图1)。

图1

　　接下来笔者关闭了NOD32杀毒软件的文件实时防控功能，并在运行“机器狗”病毒样本前使用相应工具记录下了C:\WINDOWS\system32\userinit.exe初始化文件的文件属性(MD5值)，接着正式运行“机器狗”病毒样本(如图2)。

图2

　　二、病毒样本果然为虎作伥

　　运行了“机器狗”病毒样本后，笔者重新启动了电脑，然后笔者径直进入系统的C:\WINDOWS\system32\文件夹，打开了userinit.exe初始化文件的文件属性，发现文件属性果然已经改变了(如图3)。笔者这时心中暗暗窃喜，“机器狗”病毒样本基本植入成功，病毒也果然成功穿透了硬盘还原卡。在接下来的一段时间内，笔者发现在自己上网操作相对空闲的时段内，仍然有大量数据从网上流向本地电脑，笔者知道，自己的电脑已经成为了各种盗号木马的“据点”了(如图4)。

图3

图4

　　三、专杀工具剿杀病毒样本

　　“机器狗”病毒最大的恶毒之处在于，它是通过穿透还原软件和硬件还原卡来进行自我加载的，所以即便用户使用一些杀毒软件将其暂时查杀了，但用户重新启动电脑后，“机器狗”病毒会随着系统同步进行还原并进行再次自我加载，形成“死循环”。

　　“超级巡警之机器狗病毒专杀”是目前国内第一款自动穿透还原系统进行病毒查杀的工具，可以完全彻底的查杀“机器狗”病毒。事实上也的确如此，笔者在电脑上运行了该“超级巡警之机器狗病毒专杀”后，区区几秒钟的工夫，软件即检测到了“机器狗”病毒并自动将其全部进行了清除。这里需要提醒用户的是，用户在扫描和清除“机器狗”病毒时，最好在该专杀工具中选中其中的“免疫”选项(如图5)。

图5

　　试用心得

　　对付“机器狗”病毒，使用这款“超级巡警之机器狗病毒专杀”工具可能是目前最简单和最行之有效的方法了。另外，用户在清除完“机器狗”病毒后，最好再同时使用“超级巡警”软件对系统进行一次全面的木马查杀，再将所有混入用户系统的盗号木马清除干净。