YAI是什么？

----YAI是什么？媒体报道时称YAI是第一个国内编写的大规模流行的“黑客”病毒。我们在国内一家反病毒的软件公司的主页上获取了这么一段关于YAI病毒的说明文字：YAI（backdoor）是一个文件型病毒，通过软盘和因特网传播，主要以邮件附件的形式传递。在YAI（backdoor）病毒感染Windows系统的可执行文件并执行了染毒文件后，系统没有任何特殊现象，即在毫无征兆的情况下能够将病毒激活，使之侵入系统。当染毒文件*.EXE被运行后，会在当前目录下生成*.TMP和*.TMP.YAI两个文件，同时此病毒自动搜索系统内的可执行文件，并将其感染。YAI（backdoor）病毒有很强的潜伏性，不会立即发作，但是被感染文件运行几次后，程序将无法正常工作，系统提示出错信息："系统执行非法操作，请求关闭"或"您需要更多的内存和系统资源，请关闭一些窗口再重试"。病毒发作时，该程序的图标将无法正常显示，颜色变得模糊不清。一些文档（如execl，word）和图形文件（如*.bmp）的图标会丢失。

这段说明把YAI认为是一种文件型的病毒，那么YAI是不是病毒呢？这是个问题。

我们先来看看YAI的作者对YAI的解释。

YAI实际上you and I的简称。在YAI程序包的说明文档中，作者详述了YAI的功能：

“YAI提供了30多种远程监视、管理及控制命令，功能强大。使用者可在本地方便地操作远端目标计算机，包括获取目标计算机屏幕图象、窗口及进程列表, 记录并提取远端键盘事件（击键序列），打开、关闭目标计算机任意目录的资源共享，提取拨号网络及普通程序口令、密码，激活、终止远端进程，打开、关闭、移动远端窗口，控制目标计算机鼠标的移动与动作，交换远端鼠标的左右键，在目标计算机模拟键盘输入，浏览目标计算机文件目录，下载、上装文件，远程执行程序，强制关闭WINDOWS、关闭系统（包括电源）、重起系统，提取、创建、修改、删除目标计算机系统注册表关键字，在远端屏幕上显示消息，启动目标计算机外设进行捕获、播放多媒体（视频/音频）文件，控制远端录、放音设备音量，远程版本升级更新，等等……。”

在安装程序中特别提到了“寄生发布”的步骤，如果在YAIver配置文件YAI.CFG中缺省设置，YAIver将不对其它Windows应用程序自动寄生。若YAI.CFG中attack为TRUE（或true），则依之配置后的YAIver将对目标计算机系统中运行的任意基于GUI子系统、PE格式的Windows程序进行自动寄生。即使YAIver被从系统中意外清除，在短时间内也可自动得到恢复。在YAI.CFG中使用‘attack=TRUE;’配置的YAIver发布后不能被‘CLEANYAI’命令从目标系统中完全自动清除，因其寄生能力已感染了别的某些Windows应用程序。

作者认为,YAI不算是病毒：其理由如下:
1、YAI在所有的文档中已对可能的引起的后果提出了警告。
2、YAI的文档中包含有卸载说明。
3、YAI的寄生功能在文档中有明确说明，并只能由使用者人为启动。
4、YAI的设计不是以破坏为目的，其对系统的影响为BUG所至，依文档说明可完全恢复系统正常。
5、YAI只能在经许可的指定系统中运行。
6、YAI本身有运行警告提示。



作者的表述显而易见，那就是“YAI不是病毒，而是远程控制软件”。也许更确切的说，应当是“设计得还不完善的远程控制软件”。虽然远程控制早已不是什么新名词，此类软件也已经使用很多年了，但是这种软件的特殊性仍然不容忽视。由于远程控制软件允许对用户的被控端PC进行远程访问，因此就可能将PC暴露给未授权的用户进行访问，这将使入侵者能够访问该PC上的机密信息，并经由该PC获得所有网络资源。无论是远程控制软件的开发者还是使用者，都对其格外小心，因为它的任何设计或安全漏洞都可能造成严重的危害。说白了，远程控制软件也就是黑客软件。

从作者的表述我们发现,界定YAI是不是病毒的概念并不是很清晰，作者似乎以为病毒都是偷偷摸摸的致人于死地，不会公开告诉你，要你小心和注意。

一个网友也说：“YAI八月份的上传版本我用过，挺不错的。网络既然是虚拟的就如同生命一样脆弱！我想给她增加移植性。一句话她并非病毒。”

但在计算机词典中，我们看到如下对病毒的解释：“一种传染程序，它能将自身的副本插入到计算机文件中从而感染这些文件。当受感染的文件被加载到内存时，这些副本开始执行，又开始感染别的文件，这样一直循环下去。病毒通常具有破坏性，例如损坏计算机的硬盘或占据其他程序所用的内存空间。这种破坏可能是有意的，也可能是无意的。”

根据本站独家消息，YAI病毒样本已经被有关部门呈交给公安部设在天津的一个检测中心，很显然，YAI和他的主人杜江的命运很大程度上受这个结果的影响！