最近好像又很疯狂的机器狗，运气不错，抓到个比较新的变种。

其实一开始并不是机器狗主体，而是一个ARP病毒。

（这个版本的机器狗比较恶心，能防止身己被NTFS文件系统禁创建、读取的权限）

哈哈````好了，8扯了```，开始：

开始的毒网连接：

http://xxx.m111.biz/nicai.cer

有3个东东：

hp://xxx.m111.biz/x.jpg

hp://xxx.m111.biz/x1.jpg

hp://xxx.m111.biz/x2.jpg

其实都是可执行PE文件=。=

第一个x.jpg，释放一个VB程序，调用浏览器访问网站：

http://xxx.m111.biz/tongji.htm

统计感染该病毒的人数。。。

-_-!

第二个x1.jpg，主要工作：

%Temp%释放随机命名的P处理，建立pcihdd.sys文件夹

本身并不判断文件系统，直接P处理，保证pcihdd.sys、userinit.exe不被NTFS文件系统的权限控制：

Parent process:
   Path: C:\WINNT\system32\CMD.EXE
   PID: 468
   Information: Windows NT Command Processor (Microsoft Corporation)
Child process:
   Path: C:\WINNT\system32\cacls.exe
   Information: Control ACLs Program (Microsoft Corporation)
   Command line:cacls C:\winnt\system32\drivers\pcihdd.sys /e /p everyone:n

Parent process:
   Path: C:\WINNT\system32\CMD.EXE
   PID: 468
   Information: Windows NT Command Processor (Microsoft Corporation)
Child process:
   Path: C:\WINNT\system32\cacls.exe
   Information: Control ACLs Program (Microsoft Corporation)
   Command line:cacls C:\winnt\system32\userinit.exe /e /p everyone:r