基本介紹
- 中文名:PE_YAI
- 病毒類型:PE 型病毒
- 操作平台:Win32
- 發源地:中國
基本信息,描述,詳細描述,危害舉例,難點,病毒的檢查與清除,
基本信息
病毒名稱:PE_YAI
宏數量:不詳
加密:是
病毒大小:PE_YAI.CLI : 258,560位元組;PE_YAI.SER: 275,156位元組
首次發作日期:1999年11月
特徵:被PE_YAI.SERI感染的檔案大小會增加,而PE_YAI.CRI將會開啟一個通訊連線埠。
有效載荷:沒有
描述
此Win32應用程式是一個後門特洛伊(Backdoor trojan),十分類似於黑客程式(BackOrifice),即開啟一個通訊口將用戶與伺服器相連,並提供必須的IP位址和預設連線埠號。
詳細描述
PE_YAI是一個包含兩個檔案的後門特洛伊(Backdoor trojan)程式。伺服器端的程式是PE_YAI.SER,客戶端程式是PE_YAI.CLI. 兩個程式的大小請參閱上面數據。
一旦執行伺服器端後門特洛伊程式PE_YAI.SER,PE_YAI.SER就會感染硬碟中的一個檔案。在感染之前,PE_YAI.SER先將自己調入記憶體中,然後從一客戶端處開啟一個遠程連結連線埠。一旦調入後門特洛伊程式,它就會在特定條件下檢查所執行的檔案是否已被感染病毒。它的病毒感染方式極類似於聲名狼藉的同類種病毒。一旦發現檔案已遭感染,它就會將原始檔案更名為與自己相同的名稱,只是擴展名不同而已。然後將自己的檔案名稱更改為與原始檔案相同的名稱。在同一目錄中,每次調入、選擇或執行原始檔案名稱稱時,它就會先在記憶體中檢查自己,然後利用與ShellExecute命令相同的功能調用原始檔案。而實際上它卻啟用的是隱藏在相同目錄下擴展名不同的原始檔案。
危害舉例
例如,執行SERVER.EXE檔案,該程式即被調入記憶體。然後在條件成熟之際,也就是執行CALC.EXE檔案時,病毒就會將CALC.EXE更名為CALC~.TMP。此原始檔案將被隱藏到那個目錄中。然後,SERVER.EXE就會以CALC.EXE檔案名稱被複製到那個相同的目錄中。
對於染毒檔案如CALC.EXE來說,若在一個無毒電腦上執行該檔案,病毒將僅執行或調用電腦上同一程式。 因為目錄C:\WINDOWS, C:\WINDOWS\COMMAND等是被設定到登錄表路徑中,它只能呼叫並執行原始檔案。這同時也說明了它是如何象執行普通或標準檔案那樣執行病毒程式的。
難點
對於客戶端來講,PE_YAI.CLI就會通過一個開啟的連線埠,與相關遠端電腦相連。該目標電腦的IP位址必須可寫入或具備客戶端程式參數的功能。該預設開放連線埠號碼至今未知。主要是程式本身的反調試代碼或位元組所致。
此病毒製造者為了阻止反調試代碼或位元組作用於病毒程式,故添加了這個功能。也就是說,反病毒工程師很難排除代碼或深入研究病毒程式詳細的運作規律,即使是最完善的工具也無法透視程式的運行。