病毒名稱
PE_YAI別名
-
語言版本
-
病毒類型
PE 型病毒操作平台
Win32
宏數量
不詳
加密
是
宏大小
-
病毒大小
PE_YAI.CLI : 258,560位元組;
PE_YAI.SER: 275,156位元組
惡性代碼大小
-
發源地
中國
首次發作日期
1999年11月
特徵
被PE_YAI.SERI感染的檔案大小會增加,而PE_YAI.CRI將會開啟一個通訊連線埠。
破壞力
-
發作日期
-
發作條件
-
密碼 -
肆意傳播型
-
有效載荷
沒有
主要描述
此Win32應用程式是一個後門特洛伊(BACKDOOR TROJAN),十分類似於黑客程式(BackOrifice),即開啟一個通訊口將用戶與伺服器相連,並提供必須的IP位址和預設連線埠號。詳細描述
PE_YAI是一個包含兩個檔案的後門特洛伊(Backdoor trojan)程式。 伺服器端的程式是PE_YAI.SER,客戶端程式是PE_YAI.CLI. 兩個程式的大小請參閱上面數據。
一旦執行伺服器端後門特洛伊程式PE_YAI.SER,PE_YAI.SER就會感染硬碟中的一個檔案。在感染之前,PE_YAI.SER先將自己調入記憶體中,然後從一客戶端處開啟一個遠程連結連線埠。一旦調入後門特洛伊程式,它就會在特定條件下檢查所執行的檔案是否已被感染病毒。它的病毒感染方式極類似於聲名狼籍的同類種病毒。一旦發現檔案已遭感染,它就會將原始檔案更名為與自己相同的名稱,只是擴展名不同而已。然後將自己的檔案名稱更改為與原始檔案相同的名稱。在同一目錄中,每次調入、選擇或執行原始檔案名稱稱時,它就會先在記憶體中檢查自己,然後利用與ShellExecute命令相同的功能調用原始檔案。而實際上它卻啟用的是隱藏在相同目錄下擴展名不同的原始檔案。
例如,執行server.exe檔案,該程式即被調入記憶體。然後在條件成熟之際,也就是執行calc.exe檔案時,病毒就會將CALC.EXE更名為CALC~.TMP。此原始檔案將被隱藏到那個目錄中。然後,SERVER.EXE就會以CALC.EXE檔案名稱被複製到那個相同的目錄中。
對於染毒檔案如CALC.EXE來說,若在一個無毒電腦上執行該檔案,病毒將僅執行或調用電腦上同一程式。 因為目錄C:\WINDOWS, C:\WINDOWS\COMMAND等是被設定到登錄表路徑中,它只能呼叫並執行原始檔案。這同時也說明了它是如何象執行普通或標準檔案那樣執行病毒程式的。
若檢查檔案是否染毒,只要檢查檔案的大小就可以啦。因為檔案染毒後,大小會增加200K至300K個位元組。另一方法是檢查系統中是否含附加擴展名“~.txt”的檔案。例如,啟動一個命令外殼,並執行DIR/S/B*~.TMP,若發現任何CALC~.TMP的檔案,就證明系統已被感染。
若清除此病毒,只要通過掃描系統搜尋到染毒檔案,並將其清除即可。接下來,將“*~.TMP”重新更名為“*.EXE”,以恢復原始檔案。
例如,您若發現一個長達200K的染毒檔案CALC.EXE, 就請將它清除,然後將隱藏檔案CALC~.TMP重命名為CALC.EXE。請注意, 在清除檔案以前,請確信隱藏檔案是有效檔案。
對於客戶端來講,PE_YAI.CLI就會通過一個開啟的連線埠,與相關遠端電腦相連。該目標電腦的IP位址必須可寫入或具備客戶端程式參數的功能。該預設開放連線埠號碼至今未知。主要是程式本身的反調試代碼或位元組所致。
此病毒製造者為了阻止反調試代碼或位元組作用於病毒程式,故添加了這個功能。也就是說,反病毒工程師很難排除代碼或深入研究病毒程式詳細的運作規律。即使是最完善的工具也無法透視程式的運行。
伺服器特洛伊程式根據檔案擴展名來命名病毒名稱。在特殊情況下,染毒程式會將自己複製到相同的目錄中,而有些時候還會沿用相同的檔案名稱, 但不同的擴展名“~.TMP.YAI”
