发信人: emil()
整理人: emil(1999-11-05 16:54:43), 站内信件
|
“YAI恶性病毒”作者有点冤? 1999-11-04 【ChinaByte 特稿】 本站10月30日曾经转发了一篇题为《警惕国内大规模流 行的恶性病毒》的新闻稿,当日国内多家媒体也纷纷刊登此文,并引起了众多网友 及计算机使用者的关注。很多人在升级了自己的杀毒软件之后暗自庆幸:又一种恶 性病毒被自己拒之门外。
这种名为YAI的“恶性病毒”据称“一旦运行后将直接导致文件无法使用,系 统会出现很多异常情况。”,并已成为某病毒监测网继CIH病毒爆发后,今年收到 染毒报告最多的一种,达数百例之多。那么,既然可以造成如此严重的危害,YAI 作者为啥觉得冤?
You And I,这就是YAI的缩写。在YAI程序包的说明文档中,作者详述了YAI的 功能: “YAI提供了30多种远程监视、管理及控制命令,功能强大。使用者可在本地方 便地操作远端目标计算机,包括获取目标计算机屏幕图象、窗口及进程列表, 记录 并提取远端键盘事件(击键序列),打开、关闭目标计算机任意目录的资源共享, 提取拨号网络及普通程序口令、密码,激活、终止远端进程,打开、关闭、移动远 端窗口,控制目标计算机鼠标的移动与动作,交换远端鼠标的左右键,在目标计算 机模拟键盘输入,浏览目标计算机文件目录,下载、上装文件,远程执行程序,强 制关闭WINDOWS、关闭系统(包括电源)、重起系统,提取、创建、修改、删除目标 计算机系统注册表关键字,在远端屏幕上显示消息,启动目标计算机外设进行捕获、 播放多媒体(视频/音频)文件,控制远端录、放音设备音量,远程版本升级更新, 等等……。”
在安装程序中特别提到了“寄生发布”的步骤,如果在YAIver配置文件YAI.CFG 中缺省设置,YAIver将不对其它Windows应用程序自动寄生。若YAI.CFG中attack为 TRUE(或true),则依之配置后的YAIver将对目标计算机系统中运行的任意基于GUI 子系统、PE格式的Windows程序进行自动寄生。即使YAIver被从系统中意外清除,在 短时间内也可自动得到恢复。在YAI.CFG中使用‘attack=TRUE;’配置的YAIver发布 后不能被‘CLEANYAI’命令从目标系统中完全自动清除,因其寄生能力已感染了别的 某些Windows应用程序。
显然,作为一个远程控制程序,这种自动寄生功能将对用户系统产生影响,并 被人用以“特殊用途”。那么,YAI的作者如何看待自己的作品呢?
YAI的作者在“警惕国内大规模流行的恶性病毒”一文发表的第二天,给本站来 信,详谈了YAI的开发过程及个人的看法,以下是来信的部分内容: “YAI最初是在今年3月初上载到主页的,它是一个远程控制管理软件,我最初的 设计目的是将它应用在一些网络使用较复杂、需要大量维护、管理工作的环境,例如 网吧、公用计算机房、单位局域网等。由于这些应用环境的复杂性,YAI在设计时考虑 了它运行的隐蔽性,以防被某些上机者未经许可轻易删除。其实在7月以前的版本均运 行正常,我也收到不少使用者的肯定和改进意见。然而当7月底的一个新版YAI上载后 不久,即收到一些使用者报告的BUG,是关于YAI的‘寄生’功能的。这个功能主要是 在远控服务端将YAI服务程序本身附着在某些WINDOWS应用程序上,以增强其驻留系统 的可靠性。但由于该功能本身还处于测试阶段,因设计和编码上的考虑不周,一旦用 户起用该功能,可能会影响到系统的正常运行。不过,只要按随YAI提供的文档说明就 可以手工卸载YAI,使系统恢复正常。遗憾的是某些用户未能仔细阅读说明书,造成了 一些误会。 为了避免YAI的隐蔽特性被不良使用者滥用,在它一开始发布的版本中就预设了一 个措施以防它被安装到不知情的系统中:当远控开始时,被控系统屏幕上将出现一个跳 动的红心,并有控制端系统的IP地址显示。至于被认为是‘病毒’特征的‘寄生’功能, 只要用户在配置时不打开该功能,就不会起作用。况且,它本身不是为破坏为目的而设 计的。 自从8月底修改BUG后的YAI上载后,我就暂时停止了它的开发。但前不久(在你们 报道之前几天)国内另外一家反病毒软件公司的来信反映到YAI的BUG问题,才使我意识 到YAI可能已经流传并被滥用。其后的一天里我编写了YAI的自动卸载程序,于10月22日 上载到主页,以供使用者下载。同时停止提供YAI的下载。 这个卸载软件还可以查出 YAI安装者的一些信息,以供参考。 我设计和编写YAI原本是出于对计算机网络程序开发的兴趣,提供到互联网只是为 了让大家免费使用它,再给我提供一些修改建议,没想到事与愿违,令我非常遗憾。 这里,我想重复一下我对YAI不算是病毒的看法: 1、YAI在所有的文档中已对可能的引起的后果提出了警告。 2、YAI的文档中包含有卸载说明。 3、YAI的寄生功能在文档中有明确说明,并只能由使用者人为启动。 4、YAI的设计不是以破坏为目的,其对系统的影响为BUG所至,依文档说明可完全 恢复系统正常。 5、YAI只能在经许可的指定系统中运行。 6、YAI本身有运行警告提示。 有人将YAI比喻作‘枪支’,但我以为是‘菜刀’更合适。‘枪支’只有杀伤生灵 (无论好坏)的唯一功能;而‘菜刀’主要功能是切菜,使用不当偶尔也可能伤到手指, 但用它去杀人,就不是造刀人的初衷了……”
YAI作者到底冤不冤?
作者的表述显而易见,那就是“YAI不是病毒,而是远程控制软件”。也许更确切 的说,应当是“设计得还不完善的远程控制软件”。虽然远程控制早已不是什么新名词, 此类软件也已经使用很多年了,但是这种软件的特殊性仍然不容忽视。由于远程控制软 件允许对用户的被控端PC进行远程访问,因此就可能将PC暴露给未授权的用户进行访问, 这将使入侵者能够访问该PC上的机密信息,并经由该PC获得所有网络资源。无论是远程 控制软件的开发者还是使用者,都对其格外小心,因为它的任何设计或安全漏洞都可能 造成严重的危害。
软件中存在缺陷司空见惯。作为个人软件开发者,YAI的作者显然不具备专业软件 开发公司的综合设计能力与测试手段,软件中出现设计缺陷并不是什么令人惊讶的事。 然而由于远程控制软件在被控端寄生的特殊性,这种缺陷就可能对用户系统造成危害。
我们诚然相信,作者的初衷并非是制造肆意传播的病毒,也不是为黑客提供入侵他 人系统的工具,而是软件开发中的疏漏。但必须明确的一点是:如同真理跨过一步就是 谬误一般,带有缺陷的软件也会造成如病毒般的危害。在计算机词典中,我们看到如下 对病毒的解释:“一种传染程序,它能将自身的副本插入到计算机文件中从而感染这些 文件。当受感染的文件被加载到内存时,这些副本开始执行,又开始感染别的文件,这 样一直循环下去。病毒通常具有破坏性,例如损坏计算机的硬盘或占据其他程序所用的 内存空间。这种破坏可能是有意的,也可能是无意的。”
虽然这一解释并不具备法律上的强制性,但却是发人深省的。个人软件开发者的热 情与辛勤劳动是我们民族软件开发业发展的可贵资源之一。然而仅凭个人的创造力是无法 与实力雄厚的舶来品抗衡的。我们期待个人软件开发者的联合,期待将个人领先的创意转 化为成熟的产品,也期待我们再无需“是病毒,还是软件”的讨论。
【本文撰稿】ChinaByte 韩春晖
-- 欢迎光临“病毒观察” http://bd.yeah.net “聊毒斋” http://ldz.126.com http://liaoduzhai.163.net Email: [email protected]
※ 来源:.网易 BBS bbs.netease.com.[FROM: 202.96.144.222]
|
|