一个木马,但是也包含病毒的一般特征。算是木马病毒的结合体。
(You And I)
名字叫:PE_YAI是一个包含两个文件的后门特洛伊(Backdoor trojan)程序。 服务器端的程序是PE_YAI.SER,客户端程序是PE_YAI.CLI.一旦执行服务器端后门特洛伊程序PE_YAI.SER,PE_YAI.SER就会感染硬盘中的一个文件。在感染之前,PE_YAI.SER先将自己调入内存中,然后从一客户端处开启一个远程链接端口。一旦调入后门特洛伊程序,它就会在特定条件下检查所执行的文件是否已被感染病毒。它的病毒感染方式极类似于声名狼籍的同类种病毒。一旦发现文件已遭感染,它就会将原始文件更名为与自己相同的名称,只是扩展名不同而已。然后将自己的文件名更改为与原始文件相同的名称。在同一目录中,每次调入、选择或执行原始文件名称时,它就会先在内存中检查自己,然后利用与ShellExecute命令相同的功能调用原始文件。而实际上它却启用的是隐藏在相同目录下扩展名不同的原始文件。
用户只要运行一次YAI服务器端软件,在瞬间就完 成了修改注册表并在硬盘上生成几个隐蔽的YAI服务器端可 执行文件的过程,用户在屏幕上看不到任何反应,系统没有 任何特殊现象,即在毫无征兆的情况下能够将病毒激活,使 之侵入系统。病毒随即展开感染过程。Yai病毒服务器端代 码在宿主文件执行前运行,病毒慢慢地传染以下文件: hh.exe, control.exe, winhlp32.exe, write.exe, winipcfg.exe, notepad.exe, telnet.exe, sol.exe, winhelp.exe, freecell.exe, scandskw.exe, winmine.exe, logview.exe, regedit.exe 和netwatch.exe (这些文件全部是Win95/98和Windows NT目录下的文件), 然后,Yai将试图传染整个计算机内其它的.exe文件。Yai病 毒 感染一个文件时,它将自身的一个拷贝暂放在宿主文件 的开始位置,然后压缩原宿主文件,并将压缩后的宿主文件 添加到病毒代码的结尾。
例如,执行SERVER.EXE文件,该程序即被调入内存。然后在条件成熟之际,也就是执行CALC.EXE文件时,病毒就会将CALC.EXE更名为CALC~.TMP。此原始文件将被隐藏到那个目录中。然后,SERVER.EXE就会以CALC.EXE文件名被复制到那个相同的目录中。
对于染毒文件如CALC.EXE来说,若在一个无毒电脑上执行该文件,病毒将仅执行或调用电脑上同一程序。 因为目录C:\WINDOWS, C:\WINDOWS\COMMAND等是被设置到登录表路径中,它只能呼叫并执行原始文件。这同时也说明了它是如何象执行普通或标准文件那样执行病毒程序的。
若检查文件是否染毒,只要检查文件的大小就可以啦。因为文件染毒后,大小会增加200K至300K个字节。另一方法是检查系统中是否含附加扩展名“~.txt”的文件。例如,启动一个命令外壳,并执行DIR/S/B*~.TMP,若发现任何CALC~.TMP的文件,就证明系统已被感染。
若清除此病毒,只要通过扫描系统搜索到染毒文件,并将其清除即可。接下来,将“*~.TMP”重新更名为“*.EXE”,以恢复原始文件。
例如,您若发现一个长达200K的染毒文件CALC.EXE, 就请将它清除,然后将隐藏文件CALC~.TMP重命名为CALC.EXE。请注意, 在清除文件以前,请确信隐藏文件是有效文件。
对于客户端来讲,PE_YAI.CLI就会通过一个开启的端口,与相关远端电脑相连。该目标电脑的IP地址必须可写入或具备客户端程序参数的功能。该缺省开放端口号码至今未知。主要是程序本身的反调试代码或字节所致。
此病毒制造者为了阻止反调试代码或字节作用于病毒程序,故添加了这个功能。也就是说,反病毒工程师很难排除代码或深入研究病毒程序详细的运作规律。即使是最完善的工具也无法透视程序的运行。
服务器特洛伊程序根据文件扩展名来命名病毒名称。在特殊情况下,染毒程序会将自己复制到相同的目录中,而有些时候还会沿用相同的文件名, 但不同的扩展名“~.TMP.YAI”
|
论坛用户
论坛用户
论坛: 病毒专区
标题: 请教WINlogo.EXE是什么病毒??