“YOU AND I”病毒有天敌

　　“YAI不是病毒，而是远程控制软件 ,也许更确切的说，应当是设计得还不完善的远程控制软件。”虽然YAI的作者如是说。但该程序的广泛传播的确能够造成病毒效应或者说是黑客效应。因此众多反病毒厂商纷纷开始研究“YAI”的解除方法，其中表现十分突出的是北京乐亿阳趋势公司的技术人员，他们已经彻底解决了“YAI” 程序，使用该公司的产品----乐亿阳PC-cillin系列反病毒工具就可以替您轻松搞定“YAI”。

　　YAI有共分为两种：YAI.CLI、YAI.SER，通过光盘及INTERENT传播，主要是以邮件附件的形式传递。程序大小分别为YAI.CLI : 258,560字节、YAI.SER: 275,156字节。发源地在中国重庆，首次发现日期是在1999年11月，特征是被YAI. SER感染的文件大小会增加，而YAI.CRI将会开启一个通讯端口。YAI是一个包含两个文件的后门特洛伊（Backdoor trojan）程序。 服务器端的程序是YAI.SER，客户端程序是YAI.CLI. 一旦执行服务器端后门特洛伊程序YAI.SER， YAI.SER就会感染硬盘中的一个文件。在感染之前， YAI.SER先将自己调入内存中，然后从一客户端处开启一个远程链接端口。一旦调入后门特洛伊程序，它就会在特定条件下检查所执行的文件是否已被感染该程序。它的感染方式极类似于声名狼籍的同类种病毒。一旦发现文件已遭感染，它就会将原始文件更名为与自己相同的名称，只是扩展名不同而已，然后将自己的文件名更改为与原始文件相同的名称。在同一目录中，每次调入、选择或执行原始文件名称时，它就会先在内存中检查自己，然后利用与ShellExecute命令相同的功能调用原始文件，而实际上它却启用的是隐藏在相同目录下扩展名不同的原始文件。

　　例如，执行SERVER.EXE文件，该程序即被调入内存。然后在条件成熟之际，也就是执行CALC.EXE文件时，程序就会将CALC.EXE更名为CALC～.TMP。此原始文件将被隐藏到那个目录中。然后，SERVER.EXE就会以CALC.EXE文件名被复制到那个相同的目录中。

　　对于感染该程序的文件如CALC.EXE来说，若在一个无毒电脑上执行该文件，YAI将仅执行或调用电脑上同一程序。 因为目录C:\WINDOWS, C:\WINDOWS\COMMAND等是被设置到登录表路径中，它只能呼叫并执行原始文件。这同时也说明了它是如何象执行普通或标准文件那样执行程序的。

　　若检查文件是否感染该程序，只要检查文件的大小就可以了。因为文件被感染后，大小会增加200K至300K个字节。另一方法是检查系统中是否含附加扩展名“～.txt”的文件。例如，启动一个命令外壳，并执行DIR/S/B*~.TMP，若发现任何CALC～.TMP的文件，就证明系统已被感染。

　　若清除此病毒程序，只要通过扫描系统搜索到被感染文件，并将其清除即可。接下来，将“＊~.TMP”重新更名为“＊.EXE”，以恢复原始文件。

　　例如，您若发现一个长达200K的被感染文件CALC.EXE, 就请将它清除，然后将隐藏文件CALC~.TMP重命名为CALC.EXE。请注意， 在清除文件以前，请确信隐藏文件是有效文件。

　　对于客户端来讲， YAI.CLI就会通过一个开启的端口，与相关远端电脑相连。该目标电脑的IP地址必须可写入或具备客户端程序参数的功能。该缺省开放端口号码至今未知。主要是程序本身的反调试代码或字节所致。此程序制造者为了阻止反调试代码或字节作用于该程序，故添加了这个功能。也就是说，反病毒工程师很难排除代码或深入研究病毒程序详细的运作规律，即使是最完善的工具也无法透视程序的运行。

　　服务器特洛伊程序根据文件扩展名来命名被感染程序名称。在特殊情况下，被感染程序会将自己复制到相同的目录中，而有些时候还会沿用相同的文件名, 但使用不同的扩展名“～.TMP.YAI”

　　在YAI程序感染Windows系统的可执行文件并执行被感染文件后，YAI能够在没有特殊现象，毫无征兆的情况下，快速侵入系统，当“YAI”远程控制开始的时侯，被控系统屏幕上将出现一个跳动的红心，并有控制端系统的IP地址显示。YAI提供了30多种远程监视、管理及控制命令，功能强大。使用者可在本地方便地操作远端目标计算机，包括获取目标计算机屏幕图象、窗口及进程列表, 记录并提取远端键盘事件（击键序列），打开、关闭目标计算机任意目录的资源共享，提取拨号网络及普通程序口令、密码，激活、终止远端进程，打开、关闭、移动远端窗口，控制目标计算机鼠标的移动与动作，交换远端鼠标的左右键，在目标计算机模拟键盘输入、浏览目标计算机文件目录、下载、上传文件，远程执行程序，强制关闭WINDOWS、关闭系统（包括电源）、重起系统，提取、创建、修改、删除目标计算机系统注册表关键字，在远端屏幕上显示消息，启动目标计算机外设进行捕获、播放多媒体（视频/音频）文件，控制远端录、放音设备音量，远程版本升级更新，等等……如果在YAI配置文件YAI.CFG中缺省设置，YAI将不对其它Windows应用程序自动寄生。若YAI.CFG中attack为TRUE（或true），则配置后的YAI将对目标计算机系统中运行的任意基于GUI子系统、PE格式的Windows程序进行自动寄生。即使YAI被从系统中意外清除，在短时间内也可自动得到恢复。在YAI.CFG中使用‘attack=TRUE;’配置后的YAI，其发布后不能被‘CLEANYAI’命令从目标系统中完全自动清除，因其寄生能力已感染了别的某些Windows应用程序。

　　如果有人恶意使用这种远程控制程序，也将造成严重的后果，虽然“YAI”的作者在其网页上提供了该程序的卸载程序，但经乐亿阳趋势公司的专家严格检验后证明并不能完全将感染YAI的文件扫描出来。因此我们强烈建议用户使用最新版本的乐亿阳PC-cillin反病毒软件来保证您的系统安全！