Virus 版 (精华区)

发信人: seak (江海客), 信区: Virus
标  题: YAI的技术、法律与道德问题浅见
发信站: 紫 丁 香 (Tue Nov 16 12:28:16 1999) WWW-POST

YAI的技术、法律与道德问题浅见
        文/江海客(seak@163.net)

一、关于YAI的本身的一些分析。

首先，我认为从技术角度严格定义，说YAI是黑客程序或病毒程序
，都不够准确，应该说YAI是一种远程控制工具。关于远程控制工
具可以完成的工作和YAI本身的一些功能，相关报道比较多，YAI
作者杜江自己的介绍为：
YAI提供了30多种远程监视、管理及控制命令，功能强大。使用者
可在本地方便地操作远端目标计算机，包括获取目标计算机屏幕图
象、窗口及进程列表, 记录并提取远端键盘事件（击键序列），打
开、关闭目标计算机任意目录的资源共享，提取拨号网络及普通程
序口令、密码，激活、终止远端进程，打开、关闭、移动远端窗口
，控制目标计算机鼠标的移动与动作，交换远端鼠标的左右键，在
目标计算机模拟键盘输入，浏览目标计算机文件目录，下载、上装
文件，远程执行程序，强制关闭WINDOWS、关闭系统（包括电源）、
重起系统，提取、创建、修改、删除目标计算机系统注册表关键字
，在远端屏幕上显示消息，启动目标计算机外设进行捕获、播放多
媒体（视频/音频）文件，控制远端录、放音设备音量，远程版本
升级更新等等。
同一切C/S模式的远程控制工具相同，YAI同样分为SERVER端（被控
端）和CLIENT端（控制端），SERVER端是作为一个32位模块在被
控端加载。而client端则是一个GUI界面的程序，有部分功能依靠
按键实现，而大部分功能则依赖命令行的方式实现。

由于笔者虽然拿到了YAI的两种SERVER端版本，但是并没有拿到
其设置工具、设置文件和说明文件。因此只能简单分析一下。
可能不够准确。

SERVER端未安装版本（7月29日版本），278，528字节，运行后
生成odbc16m.exe,275,156字节，目标目录为winboot%/system%/
（按照WIN9X的默认安装就是windows/system）。可以看出该软件
并非象某些某些木马只是简单的把自身COPY到目标目录下。
目前流传SERVER端可能有多个版本，比较常见的是通过，修改注册
表的方式开机执行的版本，添加主键的位置大家很容易猜到，是
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
键名为SysAllc指向生成的odbc16m.exe。而我得到的，则还有一个并
不添加此键值的版本，完全依赖对系统文件的修改感染而保证在系
统中运行。
  与一切远程控制工具相类似，YAI SERVER端也要开放端口，与
client端连接，YAI采用TCP连接，默认端口是1024，但也可以通
过client端的操纵动态改变，与其他的工具所采用的对SERVER端
进行初始设定的方法更有特点。值得注意的是，在其下拉提供的
端口列表中，有一个137，应当说，对NETBIOS开放的机器，137是
一个正常的打开端口。同时YAI可以密文传输控制指令，这一点
比以往的国产工具有了一定进步。
  YAI的一个有特色之处是他的图标，YAI选择了一个正常情况下，
没有默认打开方式的文件的常见图标作为系统图标，由于WINDOWS
安装后的默认方式为隐藏已知类型文件的扩展名。所以，采用
这种设置的用户会误认为这是个没有扩展名的文件，对这种文件
很多用户出于好奇会双击他选择一种方式去打开，结果此时就使
程序被执行。
  YAI的另一个特点是其自我保护的意识，由于很多用户都知道用
netstat -an命令查看所有本机连接，因此YAI屏蔽了netstat命令，
但这种屏蔽即不是通过网络方式完成的，也不是通过修改NETSTAT.EXE
本身完成的，而是通过操作捕获的方式完成的。这意味着，即使你
仅仅是把netstat.exe修改一个名字，YAI对此就不在起作用。另外
YAI为了防止用户通过类似ctrl+alt+del方式查看到他的存在，采用了
一些技巧，当然，类似方法在其他一些同类工具中也能被找到，我会
另用文章论述。同时，YAI的SERVER端做了压缩和一定的反跟踪处理，
使静态和动态的方式都不容易分析。
  但与此相矛盾的是YAI又有自我暴露的特点，YAI的SERVER端在被控
制的时候，会在屏幕上出现一个红心的图案，点击这个图案，会看到
控制者的IP。这一点还未见于其他工具，这也足可说明作者的非恶意
性。
  其实YAI与其他后门工具最大不同，在于其有一种崭新的对SERVER端
的依附方式，那就是其可以通过改变预定设置，使之激活对用户可执行
程序进行寄生的特性。由于此时的YAI SERVER具有了自我复制的特点。
由于自我复制是文件性病毒的根本判据，可以说，此时的YAI的SERVER
端，具有明显的病毒特性。但YAI的寄生特性激活后，并非向CIH一样，
感染一切PE程序，他只是逐渐的有选择的感染部分PE程序。这个感染
列表与YAI SERVER的版本有关。
  但YAI与传统的文件性病毒又有很大不同，传统的病毒一般都是寄生
程序的大小愿小于宿主。但我们可以看一下write.exe和control.exe
感染后的情况。
write 277010 20480 256530
control 276534 2155     274379   
  可以看出寄生程序远大于宿主，这种状况在以往是异常罕见的，同时
寄生后，程序增长的字节并不固定，这主要是因为，该程序感染手法与
传统文件型病毒不同，传统文件形病毒一般是把自己附着在原有程序文
件尾部或头部，通过修改文件头指向自身，使每次程序运行时自身被执
行后再执行正常程序。而YAI则是通过把正常程序，嵌入自身的方式来进
行。被YAI感染的程序的特性与版本也有关系，早一点的版本运行后，会
检查 WINBOOT%/SYSTEM%下是否有ODBC16M.exe如果没有会拆离出这个文件
，而后来版本则直接本目录运行，这就是所谓.tmp文件的由来。
  YAI带来的一个问题是程序的BUG会造成用户正常程序的无法运行，当然
用户被感染后遭到远程控制也会带来一些不可预测的影响。


二、关于YAI涉及的法律与道德问题。
在上海杨威黑客案后，我曾写了一篇立意为无罪辩护的文章，今天通过
对技术和事实的了解。我同样认为杜江无罪。
  关于本案的定性基础，是基本的事实依据，技术分析和法典判定，
一些媒体和反病毒厂商的定性和炒做并不能成为依据和参考。而一些说法则都值
得商榷。
1、YAI是恶意或恶性的吗？虽然很多报道定性YAI为恶性病毒，但必须指出恶意，
也好、恶性也吧，指的不是结果，而是主观遗愿。如果是因为YAI的BUG的问题
，那么BUG显然不是作者有意所为，如果是因为运行YAI SERVER端程序的人，
遭到了远程控制者的破坏，那么只要该控制者不是杜江，就与杜江没有关系。
不要说恶意，应该说杜江连写病毒的主观故意都没有，因为病毒的制造者是以
传播或破坏为目的，很简单，杜江加入这一特性是为了增强控制的可靠性，而
不是药传播SERVER端本身。必须承认YAI作者本身并不存在主观故意的破坏性，称
为恶意或恶性毫无根据。
2、YAI的潜伏期很长吗？病毒的潜伏期是指由感染到触发破坏条件的时间
，而因为YAI本身并不存在触发破坏条件的问题（因为并不存在以破坏为
目的的判定条件和破坏程序段），所以YAI根本没有潜伏期的问题，如果，
潜伏期很长是指YAI并非向CIH那样疯狂的感染一切PE程序，而是逐渐感染
部分程序的话，那么首先，这就不是潜伏期长，而是感染率低。那么既然
感染力比较弱，则大家都明白病毒的生命力与感染率是成正比的。既然承
认感染率低，那么另一种说法又不能成立了，既然感染率低，何来YAI病毒的
大流行呢？
3、杜江是投毒者吗？
本案的当然需要公安机关对YAI进行科学定性，但是笔者认为，本案的真正
关键在于，即使界定了YAI的某一流传SERVER端版本是一个病毒的话。也无
法推导出杜江是投毒者的结论。因为，由YAI流传的某一SERVER端是一个病
毒推出YAI是一个病毒再推出杜江是投毒者这一貌似正确的推导实际并不能
成立。首先，杜江对自己的行为负责到哪一环节？我认为，杜江的行为从编
制程序起始到上传文件为止，也就是说，杜江只对其上传到网站的程序和此
时程序的默认设置负责，这种负责在于此时的程序是否有病毒特性，也包括
作者是否对使用其程序和改动设置的一切可预见后果做了说明。毫无疑问，
没有修改过设置的YAI客户端并不是一个有自我复制特性的程序，也毫无疑问
，作者并未欺骗下载者，对其程序的特性做了说明。
而YAI的使用者对YAI默认设置的调整和使用带来的一切后果完全应该由使用者
负责，而与杜江无关。这个理由很简单，比如说有人用老鼠药杀人，罪犯是下
毒者而不是制药厂。说句最通俗的就是，YAI并不是在杜江手里变成病毒的。
远程控制工具的作者是否有罪，我想很明确一点就是，我们应当参考信息技术
发达国家处理。应当说，保持宽松的IT氛围和严格执法界限一样重要，前者保
证IT精神的活跃，而后者保证其有序。拉斯维加斯的黑客大会是公开的，黑客
不会担心被“一网打尽”，尽管会上发布的BO2K不幸感染了CIH，但也没有人说
死牛祭祀是“播毒者”。我想，任何一个国家IT如果想有巨大的发展，必须考虑
到一个宽松的政策环境的支持，IT是需要精益的黑客精神和梦想的。
    在认为杜江无罪的同时，我并非认为杜江没有什么责任。特别我认为难以原
谅的是他突破了远程控制工具的底线。以往的大量远程控制工具，无论选择，注
册表，LOAD选项还是WINBOOT选项，都是以不影响用户文件为前提的。即使如
HAPPY99这种蠕虫式的东西，虽然修改了wsock32.dll但也给用户留下了备份。其
实谁都清楚，感染正常文件比其他方式更可靠。但这决非一个技术界限，也不存
在什么技术难题，而是一个黑客的道义界限，而杜江恰恰（也许是无意）的突破
了这个底线。也许，这个后果，可以和宏病毒的源码第一次公开类似，无论始作
俑者的初衷如何，潘多拉盒子里的魔鬼一旦释放，就难以收回。
    就事论事，我觉得杜江的定性是，一种违法而非犯罪行为。但无论杜江本
人，还是我们每一个程序员，都值得从此事中反思，也许，在一些领域，我们宁
可让我们的预见力保持寂寞，也不要去做一个打开潘多拉盒子的先知。






--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 )|)             ●   |江海客     seak@163.net
\-----/               |之天涯看台 http://seak.163.net(163)
ぺべぺべぺべぺ                    http://personal.yn.cninfo.net/seak(169)           
        问人间沧桑几许；看书生胆气如何
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

※ 来源:·紫 丁 香 bbs.hit.edu.cn·[FROM: 202.97.248.238]