精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆反病毒技术论坛☆>>"YAI恐慌"是媒体炒作的结果!

主题:"YAI恐慌"是媒体炒作的结果!
发信人: badle1()
整理人: emil(1999-11-14 20:03:52), 站内信件
YAI木马6月初我们就在网易社区BBS"计算机安全版"讨论过了!
可惜这贴子已被版主删掉,找不到了.好在被我保存了下来.

社区服务: 查询网友  寻呼台  传纸条  个人订阅  资料配置 
 

标 题: 好厉害的YAI木马!----WIN98清除YAI木马的建议  共4篇    讨论区: Ha
cker[ 计算机安全] 

[首] [尾]  返回  

----------------------------------------------------------------------
----------
  作 者: badle (无知) 1999.06.15 修改 删除 转贴 打包 回复  
    杜江编制的YAI特洛伊木马程序虽没有 
NETSPY那样简单的操作窗口和中文界面。但 
其强大的控制、自我复制功能令玩火后的我 
手足无措.差点儿就要格掉C盘,重装系统了。 
    我不想介绍YAI的使用方法,一来我自己 
都不会用(它主要靠命令行来操作,我懒得学), 
二来不愿背上这罪名。 
    YAI的服务端(使人感染的程序)名为 
YAIver.EXE的程序自带捆绑参数,可以和一 
个正常的程序捆绑在一起,并保持正常程序 
的图标不变,比exebind.exe还好用。运行 
YAI服务端程序后,它会像BO服务端一样自 
我删除(当你运行某程序后它却立刻消失了 
,你就要小心是否中了黑客程序)。YAI服 
务端同时在C:\WINDOWS\SYSTEM目录下生成 
一个名为ODBC16M.EXE的文件(不知还生成 
什么文件,请杜江或了解的人公开一下)。 
在注册表 
HKEY_LOCAL_MACHINE\Software\Microsoft\ 
Windows\CurrentVersion\Run下添加一个 
名为SysAlloc的键值。删除这键值,并退出 
到纯DOS下删除ODBC16M.EXE文件,就能在未 
被人用YAI控制之前简单清除WIN95,WIN98 
系统中的YAI木马。 
    运行通过YAI服务端自带参数捆绑的程序 
(即被YAI木马感染的程序)而中了YAI,那 
问题可就麻烦了。据YAI说明,这种感染形式 
称为:“寄生发布”。除了生成ODBC16M.EXE 
及修改注册表RUN目录,还“自动寄生(感染 
?)宿主计算机中某些Windows应用程序中”! 
这句话就是我手足无措的原因!杜江不知是不 
是故意不说明所感染的WINDOS应用程序有哪些 
,害得我只能把WINDOWS目录下的32位应用程 
序一个个试过,所找到被感染的程序有: 
c:\windows目录下的telnet.exe、winipcfg.exe 
、winhlp32.exe、winhelp.exe、scandskw.exe、 
notepad.exe、regedit.exe、write.exe、 
control.exe;c:\windows\sysbckup目录下的 
winhelp.exe。这些都是WINDOWS里不得不用的 
程序,特别是REGEDIG.EXE!只要一运行其中一 
种被感染程序,它就会自动安装YAI服务端一次, 
这样被“寄生发布”的机器将不停地保持被感染! 
我试验时使用WIN98系统,因此WIN95,97,NT所 
感染的程序就不得而知了。且WIN98装的组件不 
同感染的程序也就不同。杜江应该把答案公布 
出来吧?还是要等到YAI流传广了,危害大了, 
出名了才发布清除方法,清除程序? 
    如此这般,清除YAI就很困难了,这几个程序 
需要删除重新安装,不知在原系统上再装一次98 
能否覆盖掉?或者从别的98系统COPY过来覆盖。 
不清楚有哪些程序被感染,只得格掉硬盘,干净 
彻底。只格掉C盘担心使中YAI的程序仍在其它分 
区,以后不小心运行了就得又麻烦一次。我不想 
重装WIN98,发现YAI的说明文档里面提到YAI服务 
端有个剥离的参数:YAIver -STRIPEXE。例如 
telnet.exe被感染了,我在DOS窗口下输入 
“C:\WINDOWS>telnet -STRIPEXE 回车”(注意 
大小写),windows目录下就立刻生成一个名为 
EXE.EXE的同图标的文件。这就是原来未被YAI感 
染的应用程序,删除掉被感染程序,把EXE.EXE 
恢复原名。以此类推,手工恢复已知被感染的程 
序。 
    以上方法仅限于还未被别人控制过。被人用 
YAI控制时,屏幕左下角会出现一粒不停跳动的 
红心。(这是杜江为避免YAI被滥用所做的对策, 
不过YAI木马难以清除,让菜鸟眼睁睁地看着这 
红心跳动是不是有点讽刺意味?)控制者稍花 
心思就能更改YAI服务器文件名,注册表启动值 
等等,清除起来更加困难。在98系统感染YAI时, 
能配置启动栏的MSCONFIG.EXE和监视本机网络 
连接的NETSTAT.EXE因被抑制而无法运行。95 
、97、NT就不清楚了。YAI的默认连接端口是 
1024,同样可以更改、设置连接密码。 
    建议杜江能把YAI改进为只针对英文、BIG5 
码的WIN9X、WINNT(让霉国、陈盈豪瞧瞧),并 
增加代理服务功能(让黑客们来当跳板)。但不 
要用来害国人自己,一个NETSPY至今还在四处猖 
獗,国内实在受不了再来一个好厉害的YAI木马! 
当然杜江自己能写个清除方法或清除程序是最好 
不过了。 


-- 
※ 修改:.badle 于 Jun 15 23:44:14 修改本文.[FROM: 202.101.154.253] 

※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.101.154.253

 

 

----------------------------------------------------------------------
----------
  作 者: asmcat (asmcat) 1999.06.16 转贴 打包 回复  
你当之无愧的可称为“无知”了,:)数月以前我就拿到了yai的一个 
版本,进行了一些研究。杜江的本意与那个什么“死牛崇拜”不同, 
杜江是想写个娱乐性的控制程序。在这个时代根本不算黑客程序, 
比起我们自己写的要业余的多了:) 
    yai分析: 
   其最新版本用aspack这个最优的windows95下压缩程序进行了 
压缩,用最强的procdump1.40也脱不掉壳。 
    1、yai运行后驻留黑客程序通用的那个注册表上, 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
名为SysAllc=odbc16m.exe, 
起这个名字,真是隐人耳目:) 
    2、他每次运行时,查找filemonclass窗口类,试图关闭可能存在的 
filemon这个强有力文件监视器。并查找和试图关闭regmonclass这个窗口 
类,他视regmon为眼中钉,并对netstat进行功能屏蔽。 
    3、他感染control.exe   winhlp32.exe   write.exe  winipcfg.exe 
             notepad.exe   telnet.exe     sol.exe     winhelp.exe 
             freecell.exe  scandskw.exe   winmine.exe  logview.exe 
             regedit.exe   netwatch.exe  计14个文件。 
      不过以后再有新版本,可能会有所改变。 
    4、最恨它的email自动通告功能,稍有不慎,就会瞬间将你的上网帐号 
及ip和可能的proxy地址发走! 
    5、yai只能从注册表中启动,不管是单独运行还是寄生运行都只是检查 
注册表和文件正确性,以保证每次从注册表启动成功。 
    6、yai的寄生运行是将目标程序当数据块连入自身,并用原图标做为当 
前图标,早期版本将被寄生程序释放到windows目录中改名运行,现在已经 
可以在当前目录中运行了,如果你在一些目录中发现形如winhelp~.tmp 
notepad~.tmp的隐含属性的文件,恭喜,你中招了。 
    这种寄生方式同cih完全是不一样,并且可以用一些进程查看器,如 
dllview等轻易的发现异常。 
    7、如果你的机器上染了yai,别人在别处控制你时,你的屏幕左下角 
会出现一个红红的“良心”,告诉你有个没有良心的想控制你:),用鼠标点 
这个红心,就可以发现入侵者的ip了!!!,然后杀了他。:)不过控制者若发 

送某一条指令XXXXXX,就可令红心消失,还是不说为好:). 
    8、yai本身有自校验功能,若染上病毒后将不再运行,因此是很难修改的。
 

  解除方法: 
    1、首先从注册表将其键值剔除。关于这个键值,不是crack高手是很难 
修改这个键值的,因此容易辨认。 
    2、win98中有个文件检验器,从系统信息中可以调出,它可以逐一对系统文
 
件 
进行检查,你在文件检查器的提示下,将一切被改变的文件复位成原文件即可消
 
灭yai。 









-- 
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.102.198.159

 

 

----------------------------------------------------------------------
----------
  作 者: mcmib (MIB) 1999.06.16 转贴 打包 回复  
【 在 asmcat (asmcat) 的大作中提到: 】 
:  你当之无愧的可称为“无知”了,:)数月以前我就拿到了yai的一个 
:  版本,进行了一些研究。杜江的本意与那个什么“死牛崇拜”不同, 
:  杜江是想写个娱乐性的控制程序。在这个时代根本不算黑客程序, 
:  比起我们自己写的要业余的多了:) 
:     .......asmcat你在這裡阿 
好久沒見你了 


-- 
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.103.6.201] 

 

 

----------------------------------------------------------------------
----------
  作 者: compaq (圣斗士星矢) 1999.06.16 转贴 打包 回复  
那有download? 

-- 
※ 来源:.网易 BBS bbs.netease.com.[FROM: 202.96.157.29] 
 

 
[首] [尾]  返回  

--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.101.154.94]

[关闭][返回]