　　“机器狗”病毒运行后，会在%WinDir%System32drivers 目录下释放出一个名为pcihdd.sys 的驱动程序，该文件会接管冰点或者硬盘保护卡对硬盘的读写操作，这样该病毒就破解了还原系统的保护，使冰点、硬盘保护卡实效。接着，该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞，从http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等恶意网址下载多款网游木马，盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码，严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用，因此网吧成为该病毒发作的重灾区。

　　该病毒还会随着ARP病毒传播，因此对局域网杀伤性极大。针对此病毒，江民科技反病毒中心已经及时升级了病毒库，只要将KV杀毒软件升级至最新版本，即可有效防范查杀此病毒。

　　ntfs.dll病毒ntfs.dll木马机器狗解决方案

　　1、由于机器狗病毒是借助于ARP欺骗的方式在局域网中传播，因此做好ARP欺骗的防范工作十分必要。建议有条件的网吧和企业，采用双向绑定策略，在交换机或路由器上绑定好全网的IP-MAC地址，在客户端绑定好网关的IP-MAC。这样即便是局域网中某台电脑感染了ARP病毒，该电脑也不会干扰全网的运行。双向绑定策略是抵御ARP病毒的好办法。

　　如果不具备双向绑定的条件，可以采用划分VLAN 的方法，来隔离网络的不同区域，这样可以把ARP病毒的危害降低到最小。

　　2、更新好系统漏洞补丁，尤其是网页木马常用漏洞：MS06-014和MS07-017。目前根据江民科技反病毒中心恶意网址跟踪结果来看，发现绝大部分的网页木马都是利用以上两个系统漏洞入侵到计算机中的，因此打好补丁十分关键。

　　MS06-014 中文版系统补丁下载地址：

　　http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx

　　MS06-014 英文版系统补丁下载地址：

　　http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx

　　MS07-017 中文版系统补丁下载地址：

　　http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx

　　MS07-017 英文版系统补丁下载地址：

　　http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx

　　3、注意应用软件版本的及时更新。“机器狗”病毒除了利用以上两个系统漏洞通过网页木马的方式入侵到电脑中，还利用时下最为流行的应用软件漏洞进行挂马传播，例如一些聊天工具漏洞、播放器软件漏洞、网络电视软件漏洞、游戏软件漏洞、甚至是一些常用的下载工具的漏洞都会成为病毒的传播途径。由于应用软件的用户群体更为广泛，这也就成了病毒作者传播病毒的又一“利器”。因此要注意软件的版本，一定要使用从官方网站下载的最新版本的软件，这点十分重要，不要使用老版本，因为老版本还有很多漏洞。

　　4、禁用Windows系统的自动播放功能。这一点对个人用户来说同样重要，由于“机器狗”病毒还会利用U盘传播，因此如果U盘中含有此病毒时，如果直接双击打开U盘，就会激活病毒，从而感染进电脑中。建议用户通过组策略的方式禁用U盘的自动播放功能。

　　关闭自动播放功能方法如下：在“开始”菜单的“运行”框中运行“gpedit. msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备(如：U盘、移动硬盘等)入侵用户计算机，保护计算机系统安全。

　　5、及时升级KV杀毒软件病毒库，上网时确保打开“网页监控”、“邮件监控”功能。

　　建议企业级用户和网吧部署KV网络版杀毒软件，KV网络版具有全网统一升级，统一杀毒功能，可以快速彻底清除网络中的ARP病毒和“机器狗”病毒及其变种。

上一篇安全：从原理入手扼杀传播病毒的恶意网页

下一篇安全：保护计算机远离黑客骚扰的策略