网友接触YAI的始末及看法！

蓝雨-LanYu

----如今INTERNET发展的速度可真是一日千里，特别在我国近期内上网的人数更是倍数增加。

可由于大多数人的基础知识比较溥，有的甚至一开始接触电脑就以经是OICQ里或聊天室里的大网虫了。就好象是第一天学开车就跑上高速公路一样，呵，你说能不危险嘛。什么病毒呀，炸弹呀，特洛伊呀……等等都免费为你开学习班了。

本人也可以说是从这种班毕业的，开学的第一堂课是NETSPY,接下来是netbus,subseven,Bo..在被人“玩”的同时也就喜欢上这种东西了，经过一番又一番的摸索之后，也就玩起别人了.做过贼的人总是怕那天家里也被偷，现在玩腻了，也就总担心在你不在意的时候被人玩。不时就检查检查自己的启动项。

今天跟OICQ里一个MM聊得正来劲，突然在桌面的左下方多了一个“红心”GIF，漂亮极了，心想OICQ什么时候也帮人传情达意啦~*~哈，，把鼠标放在红心上一看！哇！“YAIgen…正在与本机联接，IP来自172.31.92.??? ”。什么东西？？感觉不对，照例检查一下启动项。哈，原来我的c:\windows\system\里“免费”来了个odbc16m.exe，，不知道是那位好心的“朋友”，不用怀疑了，不是马还会是什么，马上运行WINDOWS里的MSCONFIG.EXE，将它从启动项里X掉，再熟练的退出到DOS下DEL掉odbc16m.exe。启动！咦？还在？这么赖皮~,呜,,晕倒！

过了几天，OICQ里的那位172.31.92.???朋友把我CALL醒了，说：“嘻，好玩吗？昨天给你的小程序里面有YAI，是一只新马，会感染EXE文件的，不过我给你的版本是不会感染的，放心“使用”吧。”，**听完又晕了！** 于是叫他将下载的几个ZIP文件都给我，里面的WORD说明文档说的很清楚，经过一番细心研究之后，开始按他删除非寄生版本的方法删除，呜，，怎么还是不行呀？！原来，那些ZIP都不是在作者的主页里下载的，已经是给别人改良过的感染版本！啊……大哭，，看了看我最常用的OICQ、FOXMAIL…等一些程序，怎么全跟原来的字节数不一样呀！终于明白这两天都有运行过的程序都以经被YAI感染，（我弟的游戏，我妹的学习软件、我自己的……好一大堆呀）。本来YAI在感染了程序后，都会将原来的程序备份成一个.TMP文件和一个.YAI文件,在我半懂半未懂的时候,曾用"查找"将*.TMP和*.YAI文件找了一遍,然后删掉,记得好多好多,,,惨,现在怎还能记得那些程序是这几天运行过的呀。看来只有将机子里全部的EXE文件一个个拿来"解剖"了。

这个YAI有几个特点:

1: 将原程序与YAI程序解开不需其它软件工具,只要从程序本身加一个 -STRIPEXE参数运行一下,如果程序是清洁的,就会象以往一样照常启动,如果是被感染了的,会生成一个exe.exe程序,这就是清洁的原程序了,将exe.exe改回原来的程序名就可以了。

2: YAI在WINDOWS里才能正常运行,想完全的删除它,并且在删除那么多程序的时候不要前功尽弃(因为如果还没删清,而WINDWOS本身就以经有很多程序在运行着,就算运行着的都是你解开好的程序软件,可当你一不小心打开一个被感染的程序时,就会全部又再染上了)。所以必需到WINDWOS的安全模式下将一个个的EXE文件在MS-DOS窗口下加上 -STRIPEXE解开。

3：YAI本身的程序以经在200K以上，你可以排除200K以下的小程序，一定不会被感染的。

4：没有图标的程序就算在200以上也不会被感染，因为YAI感染过的程序会保留原来程序的图标，如果没有图标的程序，它也会加上一个似WINDWOS未关联程序的图标，所以那些看上去象DOS程序的程序也不会被被感染。

好了，记得在解的同时注意试运行一下你怀疑的程序，如果出现“odbc16m.exe非法操作”之类的框框时，证明这个程序里面包裹着YAI，只要你是在安全模式，它就不会再去感染了。将这个程序再-STRIPEXE就可以了。还有，你可以不时“查找”一下c:盘下是否有"odbc16m.exe"出现，如果有就是说还没清干净。嘻嘻，，，就这些搞了我一个晚上没睡，，重新打开WINDOWS，哈，一切正常。又可以打开OICQ泡MM了。呵…~ 经过了这一夜，总算对YAI的特性有了了解，也算值得。

至今我所知道的后门程序、木马程序都有一个共同的特点,就是想方设法在你的机上放一个会随机启动的程序。最简单和最有效的方法就是经常利用WINDOWS自带的MSCONFIG.EXE程序查看你的机器的启动情况，发现新加入的启动项目都是可凝的。同时可以安装比如“网络卫兵”“LockDown 2000”之类的软件，可以更有效的防止被人玩~*~。所谓“防人之心不可有，害人之心不可无。”，呵呵……好象不太顺耳，没说错吧？

这些日子来，YAI在网上及媒介间成为了热门话题，都在为YAI是否是病毒及其作者“杜江”是否有罪一事议论纷纷。本人也想对这两件事发表发表一下自己的一些看法。YAI运行后对其它的程序造成感染传播，从病毒的解释上它以经成为病毒，可它本身并不对程序和文件资源造成破坏，（听说早期的版被感染的程序会运行几次后出错，非法操作，但我没试过，并无此现象。）只是作为一种“远程控制程序”所需要的自我隐藏手段，并且该程序本身已包含着自我分解的功能，不需要其它人去费尽心机的研究杀毒程序，这是所有“病毒”没有过的。还有，YAI只是对有上INTERNET的机器造成威胁，如果你不上网，嘻，我敢保证不会出事！所以我觉得，YAI做为“远程控制程序”比较合适。或者加上个“黒”字也不过份！可如果拿它陈盈豪的CIH相比，那完全就是两种不同的性质。CIH是完完全全的恶性病毒，不但对软件也对硬件造成直接的破坏，只要是电脑就会中招，它一开始的意图就是在搞破坏。希望不要再拿YAI跟CIH相比，不但误导读者，作者杜江也难以接受。至于杜江其人，做出这个YAI，出发点应该是好的，热血男儿，志在事业，那怕心有不轨，也是可以理解的。总会有上轨的一天嘛，关键在于利是否大于弊的问题，所以希望有关些事的部门在处理上考虑得多一些，多听听网友们心声及年轻人的想法。回想我国软件业，正处于发展的阶段，想走出国门，就更应该多一些象杜江这样的人才去发挥他们的才能，不要因为他是研究杀毒软件而高高捧起，因为他是做病毒的而把他长埋黄土。做过小偷的人也可以当警察，嘻，也许更有经验。需要的是正确的指导，对他多点信心，也给其它人一些信心……