发信人: emil()
整理人: emil(1999-11-05 16:54:43), 站内信件
|
“YAI恶性病毒”作者有点冤?
1999-11-04
【ChinaByte 特稿】 本站10月30日曾经转发了一篇题为《警惕国内大规模流
行的恶性病毒》的新闻稿,当日国内多家媒体也纷纷刊登此文,并引起了众多网友
及计算机使用者的关注。很多人在升级了自己的杀毒软件之后暗自庆幸:又一种恶
性病毒被自己拒之门外。
这种名为YAI的“恶性病毒”据称“一旦运行后将直接导致文件无法使用,系
统会出现很多异常情况。”,并已成为某病毒监测网继CIH病毒爆发后,今年收到
染毒报告最多的一种,达数百例之多。那么,既然可以造成如此严重的危害,YAI
作者为啥觉得冤?
You And I,这就是YAI的缩写。在YAI程序包的说明文档中,作者详述了YAI的
功能:
“YAI提供了30多种远程监视、管理及控制命令,功能强大。使用者可在本地方
便地操作远端目标计算机,包括获取目标计算机屏幕图象、窗口及进程列表, 记录
并提取远端键盘事件(击键序列),打开、关闭目标计算机任意目录的资源共享,
提取拨号网络及普通程序口令、密码,激活、终止远端进程,打开、关闭、移动远
端窗口,控制目标计算机鼠标的移动与动作,交换远端鼠标的左右键,在目标计算
机模拟键盘输入,浏览目标计算机文件目录,下载、上装文件,远程执行程序,强
制关闭WINDOWS、关闭系统(包括电源)、重起系统,提取、创建、修改、删除目标
计算机系统注册表关键字,在远端屏幕上显示消息,启动目标计算机外设进行捕获、
播放多媒体(视频/音频)文件,控制远端录、放音设备音量,远程版本升级更新,
等等……。”
在安装程序中特别提到了“寄生发布”的步骤,如果在YAIver配置文件YAI.CFG
中缺省设置,YAIver将不对其它Windows应用程序自动寄生。若YAI.CFG中attack为
TRUE(或true),则依之配置后的YAIver将对目标计算机系统中运行的任意基于GUI
子系统、PE格式的Windows程序进行自动寄生。即使YAIver被从系统中意外清除,在
短时间内也可自动得到恢复。在YAI.CFG中使用‘attack=TRUE;’配置的YAIver发布
后不能被‘CLEANYAI’命令从目标系统中完全自动清除,因其寄生能力已感染了别的
某些Windows应用程序。
显然,作为一个远程控制程序,这种自动寄生功能将对用户系统产生影响,并
被人用以“特殊用途”。那么,YAI的作者如何看待自己的作品呢?
YAI的作者在“警惕国内大规模流行的恶性病毒”一文发表的第二天,给本站来
信,详谈了YAI的开发过程及个人的看法,以下是来信的部分内容:
“YAI最初是在今年3月初上载到主页的,它是一个远程控制管理软件,我最初的
设计目的是将它应用在一些网络使用较复杂、需要大量维护、管理工作的环境,例如
网吧、公用计算机房、单位局域网等。由于这些应用环境的复杂性,YAI在设计时考虑
了它运行的隐蔽性,以防被某些上机者未经许可轻易删除。其实在7月以前的版本均运
行正常,我也收到不少使用者的肯定和改进意见。然而当7月底的一个新版YAI上载后
不久,即收到一些使用者报告的BUG,是关于YAI的‘寄生’功能的。这个功能主要是
在远控服务端将YAI服务程序本身附着在某些WINDOWS应用程序上,以增强其驻留系统
的可靠性。但由于该功能本身还处于测试阶段,因设计和编码上的考虑不周,一旦用
户起用该功能,可能会影响到系统的正常运行。不过,只要按随YAI提供的文档说明就
可以手工卸载YAI,使系统恢复正常。遗憾的是某些用户未能仔细阅读说明书,造成了
一些误会。
为了避免YAI的隐蔽特性被不良使用者滥用,在它一开始发布的版本中就预设了一
个措施以防它被安装到不知情的系统中:当远控开始时,被控系统屏幕上将出现一个跳
动的红心,并有控制端系统的IP地址显示。至于被认为是‘病毒’特征的‘寄生’功能,
只要用户在配置时不打开该功能,就不会起作用。况且,它本身不是为破坏为目的而设
计的。
自从8月底修改BUG后的YAI上载后,我就暂时停止了它的开发。但前不久(在你们
报道之前几天)国内另外一家反病毒软件公司的来信反映到YAI的BUG问题,才使我意识
到YAI可能已经流传并被滥用。其后的一天里我编写了YAI的自动卸载程序,于10月22日
上载到主页,以供使用者下载。同时停止提供YAI的下载。 这个卸载软件还可以查出
YAI安装者的一些信息,以供参考。
我设计和编写YAI原本是出于对计算机网络程序开发的兴趣,提供到互联网只是为
了让大家免费使用它,再给我提供一些修改建议,没想到事与愿违,令我非常遗憾。
这里,我想重复一下我对YAI不算是病毒的看法:
1、YAI在所有的文档中已对可能的引起的后果提出了警告。
2、YAI的文档中包含有卸载说明。
3、YAI的寄生功能在文档中有明确说明,并只能由使用者人为启动。
4、YAI的设计不是以破坏为目的,其对系统的影响为BUG所至,依文档说明可完全
恢复系统正常。
5、YAI只能在经许可的指定系统中运行。
6、YAI本身有运行警告提示。
有人将YAI比喻作‘枪支’,但我以为是‘菜刀’更合适。‘枪支’只有杀伤生灵
(无论好坏)的唯一功能;而‘菜刀’主要功能是切菜,使用不当偶尔也可能伤到手指,
但用它去杀人,就不是造刀人的初衷了……”
YAI作者到底冤不冤?
作者的表述显而易见,那就是“YAI不是病毒,而是远程控制软件”。也许更确切
的说,应当是“设计得还不完善的远程控制软件”。虽然远程控制早已不是什么新名词,
此类软件也已经使用很多年了,但是这种软件的特殊性仍然不容忽视。由于远程控制软
件允许对用户的被控端PC进行远程访问,因此就可能将PC暴露给未授权的用户进行访问,
这将使入侵者能够访问该PC上的机密信息,并经由该PC获得所有网络资源。无论是远程
控制软件的开发者还是使用者,都对其格外小心,因为它的任何设计或安全漏洞都可能
造成严重的危害。
软件中存在缺陷司空见惯。作为个人软件开发者,YAI的作者显然不具备专业软件
开发公司的综合设计能力与测试手段,软件中出现设计缺陷并不是什么令人惊讶的事。
然而由于远程控制软件在被控端寄生的特殊性,这种缺陷就可能对用户系统造成危害。
我们诚然相信,作者的初衷并非是制造肆意传播的病毒,也不是为黑客提供入侵他
人系统的工具,而是软件开发中的疏漏。但必须明确的一点是:如同真理跨过一步就是
谬误一般,带有缺陷的软件也会造成如病毒般的危害。在计算机词典中,我们看到如下
对病毒的解释:“一种传染程序,它能将自身的副本插入到计算机文件中从而感染这些
文件。当受感染的文件被加载到内存时,这些副本开始执行,又开始感染别的文件,这
样一直循环下去。病毒通常具有破坏性,例如损坏计算机的硬盘或占据其他程序所用的
内存空间。这种破坏可能是有意的,也可能是无意的。”
虽然这一解释并不具备法律上的强制性,但却是发人深省的。个人软件开发者的热
情与辛勤劳动是我们民族软件开发业发展的可贵资源之一。然而仅凭个人的创造力是无法
与实力雄厚的舶来品抗衡的。我们期待个人软件开发者的联合,期待将个人领先的创意转
化为成熟的产品,也期待我们再无需“是病毒,还是软件”的讨论。
【本文撰稿】ChinaByte 韩春晖
--
欢迎光临“病毒观察” http://bd.yeah.net
“聊毒斋” http://ldz.126.com
http://liaoduzhai.163.net
Email: [email protected]
※ 来源:.网易 BBS bbs.netease.com.[FROM: 202.96.144.222]
|
|