PE_YAI是一个包含两个文件的后门特洛伊(Backdoor trojan)程序。 服务器端的程序是PE_YAI。SER,客户端程序是PE_YAI。CLI。 一旦执行服务器端后门特洛伊程序PE_YAI。SER,PE_YAI。SER就会感染硬盘中的一个文件。
在感染之前,PE_YAI。SER先将自己调入内存中,然后从一客户端处开启一个远程链接端口。一旦调入后门特洛伊程序,它就会在特定条件下检查所执行的文件是否已被感染病毒。它的病毒感染方式极类似于声名狼籍的同类种病毒。一旦发现文件已遭感染,它就会将原始文件更名为与自己相同的名称,只是扩展名不同而已。
然后将自己的文件名更改为与原始文件相同的名称。在同一目录中,每次调入、选择或执行原始文件名称时,它就会先在内存中检查自己,然后利用与ShellExecute命令相同的功能调用原始文件。而实际上它却启用的是隐藏在相同目录下扩展名不同的原始文件。
对于染毒文件如CALC。EXE来说,若在一个无毒电脑上执行该文件,病毒将仅执行或调用电脑上同一程序。 因为目录C:\WINDOWS, C:\WINDOWS\COMMAND等是被设置到登录表路径中,它只能呼叫并执行原始文件。这同时也说明了它是如何象执行普通或标准文件那样执行病毒程序的。
若检查文件是否染毒,只要检查文件的大小就可以啦。因为文件染毒后,大小会增加200K至300K个字节。另一方法是检查系统中是否含附加扩展名“~。txt”的文件。例如,启动一个命令外壳,并执行DIR/S/B*~。TMP,若发现任何CALC~。
TMP的文件,就证明系统已被感染。 若清除此病毒,只要通过扫描系统搜索到染毒文件,并将其清除即可。接下来,将“*~。TMP”重新更名为“*。EXE”,以恢复原始文件。 例如,您若发现一个长达200K的染毒文件CALC。EXE, 就请将它清除,然后将隐藏文件CALC~。
TMP重命名为CALC。EXE。请注意, 在清除文件以前,请确信隐藏文件是有效文件。 对于客户端来讲,PE_YAI。CLI就会通过一个开启的端口,与相关远端电脑相连。该目标电脑的IP地址必须可写入或具备客户端程序参数的功能。该缺省开放端口号码至今未知。
主要是程序本身的反调试代码或字节所致。 此病毒制造者为了阻止反调试代码或字节作用于病毒程序,故添加了这个功能。也就是说,反病毒工程师很难排除代码或深入研究病毒程序详细的运作规律。即使是最完善的工具也无法透视程序的运行。 服务器特洛伊程序根据文件扩展名来命名病毒名称。
在特殊情况下,染毒程序会将自己复制到相同的目录中,而有些时候还会沿用相同的文件名, 但不同的扩展名“~。TMP。YAI” 此Win32应用程序是一个后门特洛伊(Backdoor trojan),十分类似于黑客程序(BackOrifice),即开启一个通讯口将用户与服务器相连,并提供必须的IP地址和缺省端口号。
可以在网上下载专杀工具查杀。 。
答:去下载360安全卫士,或安装瑞星杀毒软件,安装完后找到你想要查杀的文件,点击鼠标右健,选择安装了的杀毒软件来进行查杀...详情>>
答:详情>>
答:我给你两个,与你分享,我也在用,很不错: 或者详情>>
答:你的电脑没有开通网络服务或者没有安装游戏客户端或者是防火墙里这个游戏程序没有加入。详情>>
