Virus 版 (精华区)
发信人: VIP (星辰大海), 信区: Virus
标 题: [档案]中国第一例国产黑客病毒大面积传播
发信站: 哈工大紫丁香 (Thu Jan 13 14:33:17 2000), 转信
中国第一例国产黑客病毒大面积传播
Yai病毒技术分析及报告
一、
YAI是与BO功能类似的恶意黑客程序,也叫特洛伊木马型病毒或后门病
毒。如计算机被此程序服务器端感染,别人可通过网络其它计算机任
意控制此计算机,并获得重要文件。公安部门已于98年底向全国发出
通告,提醒广大计算机用户注意防范此类特洛伊木马病毒。
二、Yai病毒服务器端代码在宿主文件执行前运行,病毒慢慢地传染?
韵挛募篽h.exe, control.exe, winhlp32.exe, write.exe,
winipcfg.exe,notepad.exe, telnet.exe, sol.exe, winhelp.exe,
freecell.exe, scandskw.exe,winmine.exe, logview.exe,
regedit.exe 和netwatch.exe(这些文件全部是Win95/98和Windows
NT目录下的文件),然后,Yai将试图传染整个计算机内其它的。exe
文件。最终结果导致系统崩溃,并造成破坏。已具备病毒的入侵宿主
、自我隐藏、自我复制、自动传播、发作的5个最基本特征。是一个?
裥圆《尽?
三、
YAI在原始作者在互联网发布之后,病毒主要通过染毒邮件附件及可?
贫娲⒔橹式欣┥ⅲ驯换秤胁涣寄康牡娜死貌⒋罅看ィ⒍
约扑慊没低吃斐善苹怠?
根据目前分析结果,Yai病毒(也可称作Win32.HLLP.Yai.274944)是
由Delphi语言编写的。Yai病毒感染一个文件时,它将自身的一个拷?
丛莘旁谒拗魑募目嘉恢茫缓螅顾踉拗魑募⒔顾鹾蟮
乃拗魑募砑拥讲《敬氲慕嵛病5备貌《驹诵校嗍右桓龆丝冢
却磐戏⑺偷暮竺胖噶睿╞ackdoor
commands)。该病毒有使用E-
mail的能力,在一些特殊的后门(黑客)指令需要时,该病毒可能会
使用E-
mail。该病毒是一个可自我复制、繁殖的一种特洛伊木马和文件型的
混合病毒。
特洛伊木马在计算机安全领域占有重要的一席之地,早在UNIX时代,
这种特洛伊木马程序就已经屡见不鲜。它是一个后门程序,也就是说
它隐藏在目标系统中,为某些非法访问者不通过任何安全认证而任意
访问其它用户的计算机资源大开方便之门。
从YAI病毒组成上它大体可被分为两个部分--
服务器端和客户端。黑客一般会将YAI服务器端软件很巧妙地伪装成?
芈逡聊韭恚缓笤贗nternet上广泛播(比如通过电子邮件)。由于?
芈逡聊韭砭哂泻芮康钠燮院鸵涡裕砸话阌没г谑盏酱衁AI
服务端软件的邮件后很有可能会很疏忽地将YAI服务端软件安装到自?
旱募扑慊小S氪送保诳褪褂肶AI"客户端"在Internet上寻找已
经植入YAI服务端软件的远程计算机,一旦发现,黑客就使用YAI客户
端工具向远程目标发送指令,对YAI服务器端程序实施控制,达到他?
乔匀∈荨⑵苹迪低车哪康摹0沧坝衁AI服务器端软件的Windows
95/98机器连入Interent后,服务器端软件就会秘密监视网络的消息?
坏┦盏搅嗽冻炭刂浦噶睿突崦孛艿馗杌赜Γ梢匀迷冻炭刂普
哒莆斩曰鞯耐耆刂迫ā4撕缶驮谟没Р恢痪醯那榭鱿拢冻倘
肭终呖梢运媸痹贗nternet上无限地访问这台计算机上的资源,就如?
梦仕肀吡硪惶扑慊谎奖恪?
YAI服务器端软件向用户机器的植入过程很简单,也较为隐蔽。用户?
灰诵幸淮蝁AI服务器端软件,在瞬间就完成了修改注册表并在硬盘
上生成几个隐蔽的YAI服务器端可执行文件的过程,用户在屏幕上看?
坏饺魏畏从Α?
只要YAI服务器端和客户端软件相互配合,就可完成很多远程控制功?
埽饕δ芰斜砣缦拢夯袢∧勘昙扑慊聊煌枷蟆⒋翱诩敖塘斜?
记录并提取远端键盘事件(击键序列),打开、关闭目标计算机任意
目录的资源共享,提取拨号网络及普通程序口令、密码,激活、终止
远端进程,打开、关闭、移动远端窗口,控制目标计算机鼠标的移动
与动作,交换远端鼠标的左右键,在目标计算机模拟键盘输入,浏览
目标计算机文件目录,下载、上装文件,远程执行程序,强制关闭WI
NDOWS、关闭系统(包括电源)、重起系统,提取、创建、修改、删?
勘昙扑慊低匙⒉岜砉丶郑谠抖似聊簧舷允鞠ⅲ舳勘昙
扑慊馍杞胁痘瘛⒉シ哦嗝教澹ㄊ悠?音频)文件,控制远端录、
放音设备音量,远程版本升级更新,等等。
在YAI(backdoor)病毒服务器端,感染Windows系统的可执行文件并
执行了染毒文件后,系统没有任何特殊现象,即在毫无征兆的情况下
能够将病毒激活,使之侵入系统。当染毒文件*.EXE被运行后,会在?
鼻澳柯枷律?.TMP和*.TMP.YAI两个文件,同时此病毒自动搜索系?
衬诘目芍葱形募⒔涓腥尽AI(backdoor)病毒有很强的潜伏
性,不会立即发作,但是被感染文件运行几次后,程序将无法正常工
作,系统提示出错信息:"系统执行非法操作,请求关闭"或"您需要?
嗟哪诖婧拖低匙试矗牍乇找恍┐翱谠僦厥?。病毒发作时,该程
序的图标将无法正常显示,颜色变得模糊不清。一些文档(如execl?
瑆ord)和图形文件(如*.bmp)的图标会丢失。
--
☆ 来源:.哈工大紫丁香 bbs.hit.edu.cn.[FROM: VIP@pact518.hit.edu.]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:2.985毫秒