最近很多网吧,企业和公司电脑都中了机器狗病毒，机器狗病毒可以穿透冰点、还原卡等电脑保护系统的木马病毒，并可以借助ARP病毒在局域网中传播，还会下载20多款恶性网游木马，盗取游戏玩家的帐号和密码，危害十分巨大.瑞星杀毒软件作为国内较出名的杀毒产商，都没出专杀工具，免疫补丁啊，是不是解决不了啊，江民都出了免疫补丁了~~大家是怎么看待的？？？

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

俺写过一个对机器狗拦截的软件。

采用了三道防线进行拦截

1、采用特征码扫描拦第一关，这也是最通用的办法，不过如果病毒版本升级后或者手工做了免杀能躲过了。
2、对加载驱动进行警告处理，过滤了PhysicalDriver 对象（这有可能对某些正常软件造成影响，不过网吧用户应该很少使用此类软件吧，实现要用的时候可以退出MiniSoft嘛。
3、如果前二道防线过了的话，机器狗会下载盗号木马之类的，目前这些盗取密码的方式大多是通过发WM_GETTEXT（这招应该很少用了吧？）、读进程内存、全局钩子之类的，这些MiniSoft也能够拦截。
本来打算学DosKey同学把键盘过滤驱动给Detach了，但是又怕不稳定，试想当你几队机枪兵+护士+坦克+科技球正在疯狂扫荡虫族基地时，啪，蓝屏了，那要得个啥子喃？

其中不让机器狗加载驱动很重要，如果让病毒进入Ring0的话，就是给了犯罪分子一把机枪，病毒可以轻松通过驱动Pass掉主动防御、干掉任何看不顺眼的进程，最菜的也能给你搞个蓝屏死机什么的，切记、切记。

下载地址：
http://ds.360safe.com/index.php?uid-127-action-viewspace-itemid-44

江民那个免疫不行，孤独更可靠已经有分析，没有俺这个凶狠有力。

其基本思路是：

1、建立pcihdd.sys“免疫”文件夹，设置为只读和隐藏。

没有设置权限和内置歧义文件夹，这种所谓的“免疫”文件夹形同虚设

相关：

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/db25c5c46603e3aa8226ace3.html

2、设置系统文件Userinit.exe为只读，应该是防止被机器狗修改。

这方法对于机器狗变种来说毫无意义。

相关：

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/1bccac02ebd8170c4bfb51d3.html

3、修改HOSTS，屏蔽一个域名（yu.8s7.net），还是失效的，汗....