基本资料

描述

详细描述

基本资料

病毒名称

PE_YAI

别名

-

语言版本

-

病毒类型

PE 型病毒

操作平台?

Win32

宏数量

不详

加密

是

宏大小

-

病毒大小

PE_YAI.CLI : 258,560字节；

PE_YAI.SER: 275,156字节

恶性代码大小

-

发源地

中国

首次发作日期

1999年11月

特征

被PE_YAI.SERI感染的文件大小会增加，而PE_YAI.CRI将会开启一个通讯端口。

破坏力

-

发作日期

-

发作条件

-

密码 -

肆意传播型

-

有效载荷

没有

描述

此Win32应用程序是一个后门特洛伊（Backdoor trojan），十分类似于黑客程序（BackOrifice），即开启一个通讯口将用户与服务器相连，并提供必须的IP地址和缺省端口号。

详细描述

PE_YAI是一个包含两个文件的后门特洛伊（Backdoor trojan）程序。 服务器端的程序是PE_YAI.SER，客户端程序是PE_YAI.CLI. 两个程序的大小请参阅上面数据。

一旦执行服务器端后门特洛伊程序PE_YAI.SER，PE_YAI.SER就会感染硬盘中的一个文件。在感染之前，PE_YAI.SER先将自己调入内存中，然后从一客户端处开启一个远程链接端口。一旦调入后门特洛伊程序，它就会在特定条件下检查所执行的文件是否已被感染病毒。它的病毒感染方式极类似于声名狼籍的同类种病毒。一旦发现文件已遭感染，它就会将原始文件更名为与自己相同的名称，只是扩展名不同而已。然后将自己的文件名更改为与原始文件相同的名称。在同一目录中，每次调入、选择或执行原始文件名称时，它就会先在内存中检查自己，然后利用与ShellExecute命令相同的功能调用原始文件。而实际上它却启用的是隐藏在相同目录下扩展名不同的原始文件。

例如，执行SERVER.EXE文件，该程序即被调入内存。然后在条件成熟之际，也就是执行CALC.EXE文件时，病毒就会将CALC.EXE更名为CALC～.TMP。此原始文件将被隐藏到那个目录中。然后，SERVER.EXE就会以CALC.EXE文件名被复制到那个相同的目录中。

对于染毒文件如CALC.EXE来说，若在一个无毒电脑上执行该文件，病毒将仅执行或调用电脑上同一程序。 因为目录C:\\WINDOWS, C:\\WINDOWS\\COMMAND等是被设置到登录表路径中，它只能呼叫并执行原始文件。这同时也说明了它是如何象执行普通或标准文件那样执行病毒程序的。

若检查文件是否染毒，只要检查文件的大小就可以啦。因为文件染毒后，大小会增加200K至300K个字节。另一方法是检查系统中是否含附加扩展名“～.txt”的文件。例如，启动一个命令外壳，并执行DIR/S/B*~.TMP，若发现任何CALC～.TMP的文件，就证明系统已被感染。

若清除此病毒，只要通过扫描系统搜索到染毒文件，并将其清除即可。接下来，将“*~.TMP”重新更名为“*.EXE”，以恢复原始文件。

例如，您若发现一个长达200K的染毒文件CALC.EXE, 就请将它清除，然后将隐藏文件CALC~.TMP重命名为CALC.EXE。请注意， 在清除文件以前，请确信隐藏文件是有效文件。

对于客户端来讲，PE_YAI.CLI就会通过一个开启的端口，与相关远端电脑相连。该目标电脑的IP地址必须可写入或具备客户端程序参数的功能。该缺省开放端口号码至今未知。主要是程序本身的反调试代码或字节所致。

此病毒制造者为了阻止反调试代码或字节作用于病毒程序，故添加了这个功能。也就是说，反病毒工程师很难排除代码或深入研究病毒程序详细的运作规律。即使是最完善的工具也无法透视程序的运行。

服务器特洛伊程序根据文件扩展名来命名病毒名称。在特殊情况下，染毒程序会将自己复制到相同的目录中，而有些时候还会沿用相同的文件名, 但不同的扩展名“～.TMP.YAI”