发信人: badle1()
整理人: emil(1999-11-14 20:03:52), 站内信件
|
YAI木马6月初我们就在网易社区BBS"计算机安全版"讨论过了!
可惜这贴子已被版主删掉,找不到了.好在被我保存了下来.
社区服务: 查询网友 寻呼台 传纸条 个人订阅 资料配置
标 题: 好厉害的YAI木马!----WIN98清除YAI木马的建议 共4篇 讨论区: Ha cker[ 计算机安全]
[首] [尾] 返回
---------------------------------------------------------------------- ----------
作 者: badle (无知) 1999.06.15 修改 删除 转贴 打包 回复
杜江编制的YAI特洛伊木马程序虽没有
NETSPY那样简单的操作窗口和中文界面。但
其强大的控制、自我复制功能令玩火后的我
手足无措.差点儿就要格掉C盘,重装系统了。
我不想介绍YAI的使用方法,一来我自己
都不会用(它主要靠命令行来操作,我懒得学),
二来不愿背上这罪名。
YAI的服务端(使人感染的程序)名为
YAIver.EXE的程序自带捆绑参数,可以和一
个正常的程序捆绑在一起,并保持正常程序
的图标不变,比exebind.exe还好用。运行
YAI服务端程序后,它会像BO服务端一样自
我删除(当你运行某程序后它却立刻消失了
,你就要小心是否中了黑客程序)。YAI服
务端同时在C:\WINDOWS\SYSTEM目录下生成
一个名为ODBC16M.EXE的文件(不知还生成
什么文件,请杜江或了解的人公开一下)。
在注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run下添加一个
名为SysAlloc的键值。删除这键值,并退出
到纯DOS下删除ODBC16M.EXE文件,就能在未
被人用YAI控制之前简单清除WIN95,WIN98
系统中的YAI木马。
运行通过YAI服务端自带参数捆绑的程序
(即被YAI木马感染的程序)而中了YAI,那
问题可就麻烦了。据YAI说明,这种感染形式
称为:“寄生发布”。除了生成ODBC16M.EXE
及修改注册表RUN目录,还“自动寄生(感染
?)宿主计算机中某些Windows应用程序中”!
这句话就是我手足无措的原因!杜江不知是不
是故意不说明所感染的WINDOS应用程序有哪些
,害得我只能把WINDOWS目录下的32位应用程
序一个个试过,所找到被感染的程序有:
c:\windows目录下的telnet.exe、winipcfg.exe
、winhlp32.exe、winhelp.exe、scandskw.exe、
notepad.exe、regedit.exe、write.exe、
control.exe;c:\windows\sysbckup目录下的
winhelp.exe。这些都是WINDOWS里不得不用的
程序,特别是REGEDIG.EXE!只要一运行其中一
种被感染程序,它就会自动安装YAI服务端一次,
这样被“寄生发布”的机器将不停地保持被感染!
我试验时使用WIN98系统,因此WIN95,97,NT所
感染的程序就不得而知了。且WIN98装的组件不
同感染的程序也就不同。杜江应该把答案公布
出来吧?还是要等到YAI流传广了,危害大了,
出名了才发布清除方法,清除程序?
如此这般,清除YAI就很困难了,这几个程序
需要删除重新安装,不知在原系统上再装一次98
能否覆盖掉?或者从别的98系统COPY过来覆盖。
不清楚有哪些程序被感染,只得格掉硬盘,干净
彻底。只格掉C盘担心使中YAI的程序仍在其它分
区,以后不小心运行了就得又麻烦一次。我不想
重装WIN98,发现YAI的说明文档里面提到YAI服务
端有个剥离的参数:YAIver -STRIPEXE。例如
telnet.exe被感染了,我在DOS窗口下输入
“C:\WINDOWS>telnet -STRIPEXE 回车”(注意
大小写),windows目录下就立刻生成一个名为
EXE.EXE的同图标的文件。这就是原来未被YAI感
染的应用程序,删除掉被感染程序,把EXE.EXE
恢复原名。以此类推,手工恢复已知被感染的程
序。
以上方法仅限于还未被别人控制过。被人用
YAI控制时,屏幕左下角会出现一粒不停跳动的
红心。(这是杜江为避免YAI被滥用所做的对策,
不过YAI木马难以清除,让菜鸟眼睁睁地看着这
红心跳动是不是有点讽刺意味?)控制者稍花
心思就能更改YAI服务器文件名,注册表启动值
等等,清除起来更加困难。在98系统感染YAI时,
能配置启动栏的MSCONFIG.EXE和监视本机网络
连接的NETSTAT.EXE因被抑制而无法运行。95
、97、NT就不清楚了。YAI的默认连接端口是
1024,同样可以更改、设置连接密码。
建议杜江能把YAI改进为只针对英文、BIG5
码的WIN9X、WINNT(让霉国、陈盈豪瞧瞧),并
增加代理服务功能(让黑客们来当跳板)。但不
要用来害国人自己,一个NETSPY至今还在四处猖
獗,国内实在受不了再来一个好厉害的YAI木马!
当然杜江自己能写个清除方法或清除程序是最好
不过了。
--
※ 修改:.badle 于 Jun 15 23:44:14 修改本文.[FROM: 202.101.154.253]
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.101.154.253 ]
---------------------------------------------------------------------- ----------
作 者: asmcat (asmcat) 1999.06.16 转贴 打包 回复
你当之无愧的可称为“无知”了,:)数月以前我就拿到了yai的一个
版本,进行了一些研究。杜江的本意与那个什么“死牛崇拜”不同,
杜江是想写个娱乐性的控制程序。在这个时代根本不算黑客程序,
比起我们自己写的要业余的多了:)
yai分析:
其最新版本用aspack这个最优的windows95下压缩程序进行了
压缩,用最强的procdump1.40也脱不掉壳。
1、yai运行后驻留黑客程序通用的那个注册表上,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
名为SysAllc=odbc16m.exe,
起这个名字,真是隐人耳目:)
2、他每次运行时,查找filemonclass窗口类,试图关闭可能存在的
filemon这个强有力文件监视器。并查找和试图关闭regmonclass这个窗口
类,他视regmon为眼中钉,并对netstat进行功能屏蔽。
3、他感染control.exe winhlp32.exe write.exe winipcfg.exe
notepad.exe telnet.exe sol.exe winhelp.exe
freecell.exe scandskw.exe winmine.exe logview.exe
regedit.exe netwatch.exe 计14个文件。
不过以后再有新版本,可能会有所改变。
4、最恨它的email自动通告功能,稍有不慎,就会瞬间将你的上网帐号
及ip和可能的proxy地址发走!
5、yai只能从注册表中启动,不管是单独运行还是寄生运行都只是检查
注册表和文件正确性,以保证每次从注册表启动成功。
6、yai的寄生运行是将目标程序当数据块连入自身,并用原图标做为当
前图标,早期版本将被寄生程序释放到windows目录中改名运行,现在已经
可以在当前目录中运行了,如果你在一些目录中发现形如winhelp~.tmp
notepad~.tmp的隐含属性的文件,恭喜,你中招了。
这种寄生方式同cih完全是不一样,并且可以用一些进程查看器,如
dllview等轻易的发现异常。
7、如果你的机器上染了yai,别人在别处控制你时,你的屏幕左下角
会出现一个红红的“良心”,告诉你有个没有良心的想控制你:),用鼠标点
这个红心,就可以发现入侵者的ip了!!!,然后杀了他。:)不过控制者若发
送某一条指令XXXXXX,就可令红心消失,还是不说为好:).
8、yai本身有自校验功能,若染上病毒后将不再运行,因此是很难修改的。
解除方法:
1、首先从注册表将其键值剔除。关于这个键值,不是crack高手是很难
修改这个键值的,因此容易辨认。
2、win98中有个文件检验器,从系统信息中可以调出,它可以逐一对系统文
件
进行检查,你在文件检查器的提示下,将一切被改变的文件复位成原文件即可消
灭yai。
--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.102.198.159 ]
---------------------------------------------------------------------- ----------
作 者: mcmib (MIB) 1999.06.16 转贴 打包 回复
【 在 asmcat (asmcat) 的大作中提到: 】
: 你当之无愧的可称为“无知”了,:)数月以前我就拿到了yai的一个
: 版本,进行了一些研究。杜江的本意与那个什么“死牛崇拜”不同,
: 杜江是想写个娱乐性的控制程序。在这个时代根本不算黑客程序,
: 比起我们自己写的要业余的多了:)
: .......asmcat你在這裡阿
好久沒見你了
--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.103.6.201]
---------------------------------------------------------------------- ----------
作 者: compaq (圣斗士星矢) 1999.06.16 转贴 打包 回复
那有download?
--
※ 来源:.网易 BBS bbs.netease.com.[FROM: 202.96.157.29]
[首] [尾] 返回
-- ※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.101.154.94]
|
|