LINKS
 

 

[回首页]

YAI究竟是不是病毒?

【ChinaByte 综合消息】要了解YAI是不是病毒,我们首先 要了解病毒是什么,根据《中华人民共和国计算机信息系统 安全保护条例》的二十八条对病毒的定义就是:计算机病毒 是指编制或者在计算机程序中破坏计算机功能或者毁坏数 据,影响计算机使用,并能自我复制的一组计算机指令或者 程序代码。这个定义明确表明了计算机病毒的破坏性和传染 性是病毒最重要的两个特征。

   在生物界,病毒要从一个生物体扩散到另外一个生物 体,并在这些被感染的生物体内大量繁殖。同样,计算机病 毒必须通过各种渠道从已经被感染的文件扩散到其他文件, 从已经被感染的计算机扩散到其他计算机,这就是病毒的传 染性。计算机病毒会通过各种可能的渠道,如内存、软盘、 CD、网络等一切可能渠道去传染其它程序或计算机。病毒只 有将自己尽可能的扩散,才能继续将自身继续传播,从而造 成连锁效应,产生更大的破坏力。

   从YAI的服务器端程序来看,其已经具备传染性(运行 之后会感染计算机内所有WIN95/98格式的可执行文件,将自 身放在文件前部,达到其寄生、隐蔽传播目的)。

   YAI服务器端软件向用户机器的植入过程很简单,也较 为隐蔽。用户只要运行一次YAI服务器端软件,在瞬间就完 成了修改注册表并在硬盘上生成几个隐蔽的YAI服务器端可 执行文件的过程,用户在屏幕上看不到任何反应,系统没有 任何特殊现象,即在毫无征兆的情况下能够将病毒激活,使 之侵入系统。病毒随即展开感染过程。Yai病毒服务器端代 码在宿主文件执行前运行,病毒慢慢地传染以下文件: hh.exe, control.exe, winhlp32.exe, write.exe, winipcfg.exe, notepad.exe, telnet.exe, sol.exe, winhelp.exe, freecell.exe, scandskw.exe, winmine.exe, logview.exe, regedit.exe 和netwatch.exe (这些文件全部是Win95/98和Windows NT目录下的文件), 然后,Yai将试图传染整个计算机内其它的.exe文件。Yai病 毒 感染一个文件时,它将自身的一个拷贝暂放在宿主文件 的开始位置,然后压缩原宿主文件,并将压缩后的宿主文件 添加到病毒代码的结尾。

   计算机病毒作为一种具有破坏性的程序,往往想尽一 切手段将自身隐藏起来,保护自己,但是病毒最根本目的还 是达到其破坏作用,在某些特定条件被满足的前提下,病毒 就会发作,这也就是病毒的破坏性。病毒的破坏性有些只是 显示一些图片、放一段音乐或和你开个玩笑,这些病毒就是 良性病毒,而有些病毒则有明确目的,象破坏数据、删除文 件、格式磁盘等,这些病毒病毒就是恶性病毒。 YAI病毒入 侵系统的最终结果是导致系统崩溃,并造成重大破坏。

   首先该病毒入侵某些程序后会有很强的潜伏性,不会 立即发作,但是被感染文件运行几次后,某些程序将无法正 常工作,系统提示出错信息:"系统执行非法操作,请求关 闭"或"您需要更多的内存和系统资源,请关闭一些窗口再重 试"。某些程序的图标将无法正常显示,颜色变得模糊不 清。一些文档(如execl,word)和图形文件(如*.bmp)会 丢失。

   并且该病毒有使用E-mail的能力,在需要时,该病毒 会自动使用E-mail发送被感染计算机的保密信息。它运行之 后会监视一个端口,等待着网上发送的后门指令(backdoor commands)。黑客使用YAI"客户端"在Internet上寻找已经 植入YAI服务端软件的远程计算机,一旦发现,黑客就使用 YAI客户端工具向远程目标发送指令,对YAI服务器端程序实 施控制,让远程控制者掌握对机器的完全控制权。此后就在 用户不知不觉的情况下,远程入侵者可以随时在Internet上 无限地访问染毒计算机上的资源。达到他们窃取数据、口 令、文件、破坏系统的目的。

   只要YAI服务器端和客户端软件相互配合,就可完成很 多远程控制功能,主要功能列表如下: 获取目标计算机屏 幕图象、窗口及进程列表, 记录并提取远端键盘事件(击键 序列),打开、关闭目标计算机任意目录的资源共享,提取 拨号网络及普通程序口令、密码,激活、终止远端进程,打 开、关闭、移动远端窗口,控制目标计算机鼠标的移动与动 作,交换远端鼠标的左右键,在目标计算机模拟键盘输入, 浏览目标计算机文件目录,下载、上装文件,远程执行程 序,强制关闭WINDOWS、关闭系统(包括电源)、重起系 统,提取、创建、修改、删除目标计算机系统注册表关键 字,在远端屏幕上显示消息,启动目标计算机外设进行捕 获、播放多媒体(视频/音频)文件,控制远端录、放音设 备音量,远程版本升级更新,等等。

   YAI的破坏性(造成被感染文件无法运行,系统被破 坏,计算机内重要文件及登录口令、上网用户名及口令被窃 取、打开、关闭目标计算机任意目录的资源共享,提取、创 建、修改、删除目标计算机系统注册表关键字)。充分证明 其为一个恶性病毒,而非一个合法远端遥控程序,远端遥控 程序可以观察和控制远端计算机的合法操作,而绝不会去窃 取远端计算机的口令和密码。公安部门已于98年底向全国发 出通告,提醒广大计算机用户注意防范此类特洛伊木马病 毒。

   YAI在原始作者在互联网发布之后,病毒主要通过寄生 在一个桌面游戏程序中,通过染毒邮件附件及可移动存储介 质进行扩散,已被怀有不良目的的人利用并大量传播,并对 计算机用户系统事实上已经造成重大破坏。 该病毒是一个 可自我复制、繁殖的一种特洛伊木马和文件型的混合病毒。 冠群金辰的世界范围病毒监测网正是判定YAI程序具有恶性 病毒和黑客程序的双重特性,在监测到此病毒已经在国内大 范围流行并造成巨大破坏后,将此病毒加入KILL98最新升级 文件,并将此升级文件向全国发布。


--------------------------------------------------------------------------------

Copyright ? 1999 ChinaByte. All rights reserved.
Copyright ? 1999 Yahoo! China. All rights reserved.

(ChinaByte,1999-11)