1：新版本“机器狗”病毒采用VC++ 6.0编写，老版本“机器狗”病毒采用汇编编写。
2：新版本“机器狗”病毒采用UPX加壳，老版本“机器狗”病毒采用未知壳。
3：新版本“机器狗”病毒驱动文件很小(1,536 字节)，老版本“机器狗”病毒驱动文件很大(6,768 字节)。
4：新版本“机器狗”病毒安装驱动后没有执行卸载删除操作，老版本“机器狗”病毒安装驱动工作完毕后会卸载删除。
5：新版本“机器狗”病毒针对的是系统“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件，老版本“机器狗”病毒只针对系统“userinit.exe”文件。
6：新版本“机器狗”病毒没有对注册表进行操作，老版本“机器狗”病毒有对注册表“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon”项进行操作(感觉该操作没必要，因为重新启动系统后，“还原保护程序”系统会将其还原掉)。
7：新版本“机器狗”病毒去到系统dllcache文件夹下调用真实系统文件运行，老版本“机器狗”病毒没有到系统dllcache文件夹下调用真实系统文件运行。
8：新版本“机器狗”病毒采用的是控制台程序图标，老版本“机器狗”病毒采用的是黑色机器小狗图案的图标。

大概列举出来了上边的几点，经过仔细分析它们的工作原理和编码风格后，可以推测出新版本“机器狗”病毒和老版本“机器狗”病毒决定不是出自一个人之手。
------------------------------------------------------------------------
错误纠正：

在此要纠正两个技术性的问题，网络上流传的一些关于分析“机器狗”病毒(新、老版本)的部分文章中，有两处表达错误的地方。

第一处是：在那些分析文章中所提到“‘机器狗’病毒会破坏‘还原保护程序’系统，使其还原功能失效”。其实，从概念的理解上来讲述，那些表达都是错误的，是让人理解不清晰的，会严重误导读者。正确的表述应该是这样的：“‘机器狗’病毒并没有破坏‘还原保护程序’系统，也没有使其还原功能失效。只是安装了一个病毒自己的磁盘过滤驱动去操作真实的磁盘I/O端口，向真实的磁盘中执行修改覆盖“C:\windows\explorer.exe”目标文件(文件名是病毒作者定义的，不固定、会变。但肯定的是，真实磁盘中是存在该文件的。并且病毒运行后，一般只会修改覆盖一个真实磁盘中的系统文件，再不会去破坏其它真实磁盘中的文件)操作。虽然‘机器狗’病毒运行后下载了很多其它恶意程序并安装运行，但重新启动计算机后，这些都会被‘还原保护程序’系统还原掉的，只是唯一那个被修改覆盖的真实磁盘文件没有被还原。如果发现重新启动计算机后，系统中依然有一大堆病毒在运行。其实，这些都是系统重新启动后，由那个被修改覆盖后的系统程序全部重新下载回来并安装运行的恶意程序。也就是说，每次重新启动计算机，都要重新下载安装一次所有的其它恶意程序”。

第二处是：在那些分析文章中所提到“‘机器狗’病毒会替换系统中的正常程序‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’ 或‘userinit.exe’”或“‘机器狗’病毒会感染系统中的正常程序‘conime.exe’、‘ctfmon.exe’、 ‘explorer.exe’或‘userinit.exe’”。其实，从概念的理解上来讲述，那些表达都是错误的，是让人理解不清晰的，会严重误导读者。正确的表述应该是这样的：“‘机器狗’病毒并不是替换了系统中的那些正常文件，而是针对那些正常文件在硬盘中所存放的真实物理地址进行以覆盖的方式去写入相应的恶意数据。大家可以找来正常的系统文件‘explorer.exe’、被病毒修改覆盖后的系统文件‘explorer.exe’和病毒释放出来的恶意程序‘tmp281.tmp’。对比它们内部数据代码后会发现，被病毒修改后的系统文件‘explorer.exe’的前部分数据代码和”病毒释放出来的恶意程序‘tmp281.tmp’文件的数据代码是完全相同的，而后边的数据代码依然是正常系统文件‘explorer.exe’后边的数据代码。”。

简单的概念解释：
替换：把原目标程序的数据代码全部清除掉，用新程序的数据代码来代替以前的整个程序。这样，替换后的程序只有新程序的功能。
感染：在不破坏原目标程序数据代码的前提下，向原目标程序的数据代码中追加上新程序的数据代码。这样，感染后的程序既有原目标程序的功能，又有新程序的功能。
覆盖：从原目标程序数据代码的文件头0地址处开始，向后依次执行覆盖写入新程序的数据代码操作，我们这里只假设原目标程序文件远远大于新程序。这样，覆盖后的程序只执行新程序的功能，虽然原目标程序的数据代码还存在一部分，但由于没有被调用，所以不会执行。
------------------------------------------------------------------------
总结：
上边所指的“还原保护程序”为利用磁盘过滤驱动技术编写而成的系统还原保护程序，出名一点的软件有“冰点还原精灵”和“影子系统”等。也就是说，就算用户计算机安装了上边这样的“还原保护程序”，只要是中了“机器狗”一类利用穿“还原保护程序”技术的病毒，就算您重新启动计算机了，但被修改的那个文件 “explorer.exe”也是依然不会被还原的，因为病毒的恶意代码已经覆盖进了这个真实的磁盘文件中。

目前的“机器狗”一类利用穿“还原保护程序”技术的病毒有一个致命的软肋，那就是他们所覆盖的真实系统文件在重新启动计算机后一定要自启动运行，不然就失去病毒存在的意义了。现今的“机器狗”病毒都只是能够穿透磁盘保护的，并穿透不了注册表(无法在注册表中保存添加或修改后的数据信息)，这个就是它最大的缺陷。其实，注册表数据信息也是以文件的形式保存在磁盘中的，下一代“机器狗”病毒可能会实现穿透注册表的功能，等那个时候，可能就很难防范了。这还是不算什么的，下下一代的“机器狗”病毒可能会利用自己的磁盘过滤驱动去感染真实硬盘下的PE文件，相当的恐怖啊！！

一旦感染了该版本的“机器狗”病毒，它不仅仅可以穿透“还原保护程序”，真实系统也一样会中毒。因为病毒修改覆盖了真实的系统文件“C:\windows \explorer.exe”。所以每次重新启动计算机后，被修改覆盖的系统程序“C:\windows\explorer.exe”它都会在被感染计算机的后台连接网络下载骇客事先定义好的下载列表中的全部恶意程序并自动调用运行。那么如果中该病毒的用户比较多，几万台计算机同时启动，骇客的下载服务器会挂掉吗？呵呵~！！