PE_YAI病毒

PE_YAI病毒是Win32應用程式是一個後門特洛伊(Backdoor trojan),十分類似於黑客程式(BackOrifice),即開啟一個通訊口將用戶與伺服器相連,並提供必須的IP位址和預設連線埠號

基本介紹

  • 中文名:PE_YAI病毒
  • 病毒類型:PE 型病毒
  • 操作平台:Win32
  • 宏數量:不詳
基本資料,詳細描述,

基本資料

病毒名稱
PE_YAI
別名
-
語言版本
-
加密
宏大小
-
病毒大小
PE_YAI.CLI : 258,560位元組;
PE_YAI.SER: 275,156位元組
惡性代碼大小
-
發源地
中國
首次發作日期
1999年11月
特徵
被PE_YAI.SERI感染的檔案大小會增加,而PE_YAI.CRI將會開啟一個通訊連線埠
破壞力
-
發作日期
-
發作條件
-
密碼 -
肆意傳播型
-
有效載荷
沒有

詳細描述

PE_YAI是一個包含兩個檔案的後門特洛伊(Backdoor trojan)程式。 伺服器端的程式是PE_YAI.SER,客戶端程式是PE_YAI.CLI. 兩個程式的大小請參閱上面數據。
一旦執行伺服器端後門特洛伊程式PE_YAI.SER,PE_YAI.SER就會感染硬碟中的一個檔案。在感染之前,PE_YAI.SER先將自己調入記憶體中,然後從一客戶端處開啟一個遠程連結連線埠。一旦調入後門特洛伊程式,它就會在特定條件下檢查所執行的檔案是否已被感染病毒。它的病毒感染方式極類似於聲名狼藉的同類種病毒。一旦發現檔案已遭感染,它就會將原始檔案更名為與自己相同的名稱,只是擴展名不同而已。然後將自己的檔案名稱更改為與原始檔案相同的名稱。在同一目錄中,每次調入、選擇或執行原始檔案名稱稱時,它就會先在記憶體中檢查自己,然後利用與ShellExecute命令相同的功能調用原始檔案。而實際上它卻啟用的是隱藏在相同目錄下擴展名不同的原始檔案。
例如,執行SERVER.EXE檔案,該程式即被調入記憶體。然後在條件成熟之際,也就是執行CALC.EXE檔案時,病毒就會將CALC.EXE更名為CALC~.TMP。此原始檔案將被隱藏到那個目錄中。然後,SERVER.EXE就會以CALC.EXE檔案名稱被複製到那個相同的目錄中。
對於染毒檔案如CALC.EXE來說,若在一個無毒電腦上執行該檔案,病毒將僅執行或調用電腦上同一程式。 因為目錄C:\WINDOWS, C:\WINDOWS\COMMAND等是被設定到登錄表路徑中,它只能呼叫並執行原始檔案。這同時也說明了它是如何象執行普通或標準檔案那樣執行病毒程式的。

相關詞條

熱門詞條

聯絡我們