PE_YAI病毒

病毒名稱

PE_YAI

別名

-

語言版本

-

加密

是

宏大小

-

病毒大小

PE_YAI.CLI : 258,560位元組；

PE_YAI.SER: 275,156位元組

惡性代碼大小

-

發源地

中國

首次發作日期

1999年11月

特徵

被PE_YAI.SERI感染的檔案大小會增加，而PE_YAI.CRI將會開啟一個通訊連線埠。

破壞力

-

發作日期

-

發作條件

-

密碼 -

肆意傳播型

-

有效載荷

沒有

PE_YAI是一個包含兩個檔案的後門特洛伊（Backdoor trojan）程式。 伺服器端的程式是PE_YAI.SER，客戶端程式是PE_YAI.CLI. 兩個程式的大小請參閱上面數據。

一旦執行伺服器端後門特洛伊程式PE_YAI.SER，PE_YAI.SER就會感染硬碟中的一個檔案。在感染之前，PE_YAI.SER先將自己調入記憶體中，然後從一客戶端處開啟一個遠程連結連線埠。一旦調入後門特洛伊程式，它就會在特定條件下檢查所執行的檔案是否已被感染病毒。它的病毒感染方式極類似於聲名狼藉的同類種病毒。一旦發現檔案已遭感染，它就會將原始檔案更名為與自己相同的名稱，只是擴展名不同而已。然後將自己的檔案名稱更改為與原始檔案相同的名稱。在同一目錄中，每次調入、選擇或執行原始檔案名稱稱時，它就會先在記憶體中檢查自己，然後利用與ShellExecute命令相同的功能調用原始檔案。而實際上它卻啟用的是隱藏在相同目錄下擴展名不同的原始檔案。

例如，執行SERVER.EXE檔案，該程式即被調入記憶體。然後在條件成熟之際，也就是執行CALC.EXE檔案時，病毒就會將CALC.EXE更名為CALC～.TMP。此原始檔案將被隱藏到那個目錄中。然後，SERVER.EXE就會以CALC.EXE檔案名稱被複製到那個相同的目錄中。

對於染毒檔案如CALC.EXE來說，若在一個無毒電腦上執行該檔案，病毒將僅執行或調用電腦上同一程式。 因為目錄C:\WINDOWS, C:\WINDOWS\COMMAND等是被設定到登錄表路徑中，它只能呼叫並執行原始檔案。這同時也說明了它是如何象執行普通或標準檔案那樣執行病毒程式的。