Chinese cybercrime bendes kapen op grote schaal de Systeemherstelfunctie van Windows om computers in internetcafés blijvend te infecteren en zo voor honderden miljoenen dollars aan gegevens te stelen. In China hebben veel mensen geen eigen computer en zijn daardoor op de machines van een lokaal internetcafé aangewezen. Bij elke nieuwe login wordt het systeem in een schone staat hersteld. De Dogrobot malware stelt aanvallers in staat om deze nieuwe start te overleven en vervolgens de inloggegevens van online gamers te stelen.

Volgens Microsoft heeft Dogrobot al voor 1,2 miljard dollar schade bij Chinese internetcafés veroorzaakt. Inmiddels zijn er vijf generaties van de malware familie verschenen, die een combinatie van zero-day lekken, rootkits en ARP spoofing technieken gebruiken om systemen te besmetten en gegevens te stelen. Dogrobot gebruikt disk-level I/O bestandsmanipulatie om de Systeemherstelfunctie van Windows te penetreren, maar de tweede generatie gebruikte een "backdoor" die al in Systeemherstel aanwezig is, aldus Microsoft anti-virus onderzoeker Chun Feng. De derde generatie werd van unhooking code voorzien om de bescherming van beveiligingsprogramma's en verwijdering te omzeilen. Nieuwe versies worden steeds aangepast om onzichtbaar op het systeem te blijven, zo liet Feng tijdens de VirusBulletin conferentie in Genève weten.

USB-stick
Om online te kunnen spelen nemen veel Chinezen hun inloggegevens op een USB-stick mee. Ook hiervan maakt Dogrobot misbruik, door zich via de AutoRun functionaliteit te verspreiden. De software is succesvol omdat het verschillende ActiveX, Windows, RealPlayer en WebThunder lekken misbruikt. Verder past de malware ARP cache poisoning toe, die kwaadaardige ARP pakketten naar het lokale netwerk stuurt om ook andere machines de Dogrobot malware te laten downloaden en installeren.