"YAI恐慌"是媒体炒作的结果!

badle1

发信人: badle1 (无知), 信区: Virus
标 题: "YAI恐慌"是媒体炒作的结果!
发信站: 网易虚拟社区 (Sun Nov 14 01:29:51 1999), 站内信件

YAI木马6月初我们就在网易社区BBS"计算机安全版"讨论过了!
可惜这贴子已被版主删掉,找不到了.好在被我保存了下来.

标 题: 好厉害的YAI木马!----WIN98清除YAI木马的建议 共4篇 讨论区: Ha
cker[ 计算机安全]

[首] [尾] 返回

----------------------------------------------------------------------
----------
作 者: badle (无知) 1999.06.15 修改 删除 转贴 打包 回复
杜江编制的YAI特洛伊木马程序虽没有
NETSPY那样简单的操作窗口和中文界面。但
其强大的控制、自我复制功能令玩火后的我
手足无措.差点儿就要格掉C盘,重装系统了。
我不想介绍YAI的使用方法,一来我自己
都不会用(它主要靠命令行来操作,我懒得学),
二来不愿背上这罪名。
YAI的服务端(使人感染的程序)名为
YAIver.EXE的程序自带捆绑参数，可以和一
个正常的程序捆绑在一起，并保持正常程序
的图标不变，比exebind.exe还好用。运行
YAI服务端程序后，它会像BO服务端一样自
我删除（当你运行某程序后它却立刻消失了
，你就要小心是否中了黑客程序）。YAI服
务端同时在C:\WINDOWS\SYSTEM目录下生成
一个名为ODBC16M.EXE的文件（不知还生成
什么文件，请杜江或了解的人公开一下）。
在注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run下添加一个
名为SysAlloc的键值。删除这键值，并退出
到纯DOS下删除ODBC16M.EXE文件，就能在未
被人用YAI控制之前简单清除WIN95，WIN98
系统中的YAI木马。
运行通过YAI服务端自带参数捆绑的程序
（即被YAI木马感染的程序）而中了YAI，那
问题可就麻烦了。据YAI说明，这种感染形式
称为：“寄生发布”。除了生成ODBC16M.EXE
及修改注册表RUN目录，还“自动寄生（感染
？）宿主计算机中某些Windows应用程序中”！
这句话就是我手足无措的原因！杜江不知是不
是故意不说明所感染的WINDOS应用程序有哪些
，害得我只能把WINDOWS目录下的32位应用程
序一个个试过，所找到被感染的程序有：
c:\windows目录下的telnet.exe、winipcfg.exe
、winhlp32.exe、winhelp.exe、scandskw.exe、
notepad.exe、regedit.exe、write.exe、
control.exe；c:\windows\sysbckup目录下的
winhelp.exe。这些都是WINDOWS里不得不用的
程序，特别是REGEDIG.EXE!只要一运行其中一
种被感染程序，它就会自动安装YAI服务端一次，
这样被“寄生发布”的机器将不停地保持被感染！
我试验时使用WIN98系统，因此WIN95,97,NT所
感染的程序就不得而知了。且WIN98装的组件不
同感染的程序也就不同。杜江应该把答案公布
出来吧？还是要等到YAI流传广了，危害大了，
出名了才发布清除方法，清除程序？
如此这般，清除YAI就很困难了，这几个程序
需要删除重新安装，不知在原系统上再装一次98
能否覆盖掉？或者从别的98系统COPY过来覆盖。
不清楚有哪些程序被感染，只得格掉硬盘，干净
彻底。只格掉C盘担心使中YAI的程序仍在其它分
区，以后不小心运行了就得又麻烦一次。我不想
重装WIN98，发现YAI的说明文档里面提到YAI服务
端有个剥离的参数：YAIver -STRIPEXE。例如
telnet.exe被感染了，我在DOS窗口下输入
“C:\WINDOWS>telnet -STRIPEXE 回车”（注意
大小写),windows目录下就立刻生成一个名为
EXE.EXE的同图标的文件。这就是原来未被YAI感
染的应用程序，删除掉被感染程序，把EXE.EXE
恢复原名。以此类推，手工恢复已知被感染的程
序。
以上方法仅限于还未被别人控制过。被人用
YAI控制时，屏幕左下角会出现一粒不停跳动的
红心。（这是杜江为避免YAI被滥用所做的对策，
不过YAI木马难以清除，让菜鸟眼睁睁地看着这
红心跳动是不是有点讽刺意味？）控制者稍花
心思就能更改YAI服务器文件名，注册表启动值
等等，清除起来更加困难。在98系统感染YAI时，
能配置启动栏的MSCONFIG.EXE和监视本机网络
连接的NETSTAT.EXE因被抑制而无法运行。95
、97、NT就不清楚了。YAI的默认连接端口是
1024，同样可以更改、设置连接密码。
建议杜江能把YAI改进为只针对英文、BIG5
码的WIN9X、WINNT（让霉国、陈盈豪瞧瞧），并
增加代理服务功能（让黑客们来当跳板）。但不
要用来害国人自己，一个NETSPY至今还在四处猖
獗，国内实在受不了再来一个好厉害的YAI木马！
当然杜江自己能写个清除方法或清除程序是最好
不过了。


--
※ 修改:．badle 于 Jun 15 23:44:14 修改本文．[FROM: 202.101.154.253]

※ 来源:．网易虚拟社区 http://club.netease.com．[FROM: 202.101.154.253
]