中国大陆编写的第一个黑客病毒实录

1999年11月6日,《北京晚报》在头版刊登了一篇醒目的文章--《新电脑病毒来势凶猛》，这篇报道一下子将YAI从高深的网络拉进了平常百姓的视野,即使不上网的人也因此知道了:中国出了个什么YAI!《北京晚报》的消息引起了其他大众媒体的注意。接着,新华社也对此事发表了新闻稿。

几天之内,国内多家知名媒体,包括具有全国性影响的《中国青年报》《南方都市报》、面对海外华人的《华声报》等,都纷纷报道YAI事件一时间，YAI被炒得沸沸扬扬。如此大规模的媒体报道无疑扩展了消息的分布范围和宣传频率，港台以及海外华文媒体也立即对这个消息表现出了极大的兴趣,《香港商报》、(大公报》、《硅谷时报》等媒体立即风风火火地转载了内地报道。11月11日,我国最大、最权威的新闻机构一-中央电视台在“新闻30分”节目也将这条消息送入了千家万户，一时间,YAI满天飞，国人在问,YAI为什么这么“火”?

YAI为什么这么“火”?

据报道,YAI是一个文件型病毒,通过软盘和Internet传播,主要以邮件附件的形式传递,在没有特殊现象、毫无征兆的情况下,病毒能够快速地侵入到系统中。该病毒运行后将导致文件无法使用,系统还会伴随许多异常现象。KILL98国内病毒监测网短时间内收到数百例染毒报告这是继CIH病毒爆发之后,1999年收到染毒报告最多的一次。

You And I简称为YAI。在YAI程序包的说明文档中,作者杜江详细叙述了YAI的功能:“YAI提供了30多种远程监视、管理及控制命令,功能强大。使用者可在本地方便地操作远程的目标计算机,包括获取目标计算机屏幕图像、窗口及进程列表，记录并提取远端键盘事件(击键序列),打开、关闭目标计算机任意目录的资源共享,提取拨号网络及普通程序口令、密码,激活、终止远端进程,打开、关闭、移动远端窗口,控制目标计算机鼠标的移动与动作,交换远端鼠标的左右键,在目标计算机模拟键盘输入,浏览目标计算机文件目录,下载、上传文件,远程执行程序,强制关闭Windows、关闭系统(包括电源)、重启系统,提取、创建、修改、删除目标计算机系统注册表关键字,在远端屏幕上显示消息,启动目标计算机外设进行捕获、播放多媒体(视频/音频)文件,控制远端录、放音设备音量,远程版本升级更新,等等。”

在安装程序中，作者还特别提到了“寄生发布”的步骤:如果在 YAIver配置文件YAL.CFG中使用缺省设置,YAIver将不对其他Windows应用程序自动寄生。但是,若YAI.CFG中Attack为TRUE(或true),则依之配置后的YAIver将对目标计算机系统中运行的任意基于GUI子系统、PE 格式的Windows程序进行自动寄生。即使YAIver被从系统中意外清除，在短时间内也可自动得到恢复。在YAI.CFG中使用‘Attack=TRUE;'配置的YAIver发布后不能被‘cleanyai’命令从目标系统中完全自动清除,因其寄生能力已感染了别的某些Windows应用程序。

YAI受到极大瞩目的重要原因是它和著名的CIH病毒有许多相似之处:

1.YAI和CIH都是国人制造出来的,而且两名制造者的年龄都不大。

2.两例病毒都极具流传性,极具破坏性。

3.两名制造者都是在校大学生,且都是学的计算机类专业。

CIH给世界带来的危害和恐慌足以令每个熟悉计算机的人刻骨铭心,1998年,它在短短一个星期内就通过互联网传遍了全球,1999年4月26日,CIH病毒在全世界范围内大发作，导致至少70多万台电脑受到破坏。专家认为,这是世界上迄今为止范围最广、破坏性最大的一次电脑病毒发作。

而YAI也已经造成数百例感染。YAI的出现,无疑在人们尚未痊愈的伤口又撒上了一把盐。俗话说:“一朝被蛇咬,十年怕井绳。”更何况， CIH给我们的伤害实在让人无力承受。痛定思痛,总不能在同一个“阴沟里翻船”。企业也好,个人也好,知道了总比不知要好,用户们的共同心理是,防患于未然,有备则无患。

YAI引起国人注目的另一个原因,也是最主要的一个原因,是因为 YAI是我国内地编写的第一个大规模流行的“黑客”病毒。据测试,YAI实际上是一个类似于特洛伊木马的黑客软件。但它已经有病毒的特征，倘若改变了某一个特定的参数设置，就会变成病毒，这在国内还是首例。

虽说计算机犯罪在我国已不是什么新鲜事了，但制造这么大的一个“病毒”在内地毕竟还没有先例,第一个露头的总要受到关注。我们知道CIH的制造者--陈盈豪被查出后,根据台湾的地方法规有可能被判人狱1年~3年。但是,警方在结束盘问之后便暂时释放了陈盈豪,此后再无报道。那么,根据我国的法律法规和作者杜江制造YAI的初衷,是否有犯罪的嫌疑?政府如何处理这么一个计算机的顶尖高手呢?是要把罂粟当作毒物铲除,还是当治病救人的药草保护?所有的人都关注着。YAI到底算不算是病毒?杜江,男,家住重庆,媒体报道称是重庆邮电学院计算机专业的名大学生，但经过进一步了解,杜江实际上是一名美国回来的博士生，在邮电学院里,他既是学生也是老师。

杜江设计YAI的最初目的是将它设计为一个远程控制的管理软件

1999年3月初上传到主页,7月以前的版本均运行正常。7月底,新版YAL上传后不久就有网友提出有BUC。大众认为它寄生的功能是“病毒”。有道是“有心栽花花不开,无意插柳柳成荫",无意间的巧合,杜江无意间成了第二个陈盈豪,成了媒体继CIH报道的又一凶猛“病毒”一-YAI的不过,杜江本人强烈反对把自己说成是一个危险的病毒制造者,他制造者。

在给媒体的一封抗议信中认为:“YAI最初是在今年3月初上传到主页的,它是一个远程控制管理软件,我最初的设计目的是将它应用在一些网络使用较复杂、需要大量维护、管理工作的环境,例如网吧、公用计算机房、单位局域网等。由于这些应用环境的复杂性,YAI在设计时考虑了它运行的隐蔽性,以防被某些上机者未经许可轻易删除。其实在7月以前的版本均运行正常,我也收到不少使用者的肯定和改进意见。然而当7月底的一个新版YAI上传后不久,即收到一些使用者报告的BUG,是关于YAI的‘寄生’功能的。这个功能主要是在远程服务端将YAI服务程序本身附着在某些Windows应用程序上,以增强其驻留系统的可靠性。但由于该功能本身还处于测试阶段,因设计和编码上的考虑不周,一旦用户启用该功能，可能会影响到系统的正常运行。不过,只要按照随YAI提供的文档说明就可以手工卸载YAI,使系统恢复正常。遗憾的是某些用户未能仔细阅读说明书,造成了一些误会。

为了避免YAI的隐蔽特性被不良使用者滥用,我在一开始发布的版本中就预设了一个措施以防它被安装到不知情的系统中:当远程控制开始时,被控系统屏幕上将出现一个跳动的红心,并有控制端系统的IP地址显示。至于被认为是‘病毒’特征的‘寄生’功能,只要用户在配置时不打开该功能,就不会起作用。况且,它本身不是以破坏为目的而设计的。

自从8月底修改BUG后的YAI上传后,我就暂时停止了它的开发。但前不久(在你们报道之前几天)国内另外一家反病毒软件公司的来信反 映到YAI的BUG问题,才使我意识到YAI可能已经流传并被滥用。其后的一天里我编写了YAI的自动卸载程序,于10月22日上传到主页，以供使用者下载,同时停止提供YAI的下载。这个卸载软件还可以查出YAI安装者的一些信息,以供参考。

我设计和编写YAI原本是出于对计算机网络程序开发的兴趣,提供到互联网只是为了让大家免费使用它,再给我提供一些修改建议,没想到事与愿违,令我非常遗憾。

这里,我想重复一下我对YAI不算是病毒的看法:

1.YAI在所有的文档中已对可能引起的后果提出了警告。

2.YAI的文档中包含有卸载说明。

3.YAI的寄生功能在文档中有明确说明，并只能由使用者人为启动。

4.YAI的设计不是以破坏为目的，它对系统的影响为BUG所至，依文档说明可完全恢复系统正常。

5.YAI只能在经许可的指定系统中运行。

6.YAI本身有运行警告提示。

有人将YAI比喻作‘枪支’,但我以为是‘菜刀’更合适。‘枪支’只有杀伤生灵(无论好坏)的惟一功能;而‘菜刀’的主要功能是切菜,使用不当偶尔也可能伤到手指,但用它去杀人,就不是造刀人的初衷了……”

那么,杜江真的是被冤枉的么?YAI到底能不能算是病毒呢?还是让我们来看看专家的意见吧。据某著名媒体的测评报告中这样写道:“要了解YAI是不是病毒,我们首先要了解病毒是什么,《中华人民共和国计算机信息系统安全保护条例》的二十八条对病毒的定义是:计算机病毒是指编制或者在计算机程序中破坏计算机功能或者毁坏数据，影响计算机使用,并能自我复制的一组计算机指令或者程序代码。这个定义明确表明了计算机病毒的破坏性和传染性是病毒最重要的两个特征。”

生物界的病毒会从一个生物体扩散到另外一个生物体，并在这些被感染的生物体内大量繁殖。同样,计算机病毒必须通过各种渠道从已经被感染的文件扩散到其他文件，从已经被感染的计算机扩散到其他计算机,这就是病毒的传染性。计算机病毒会通过各种可能的渠道,如内存、软盘、CD、网络等一切可能渠道去传染其他程序或计算机。病毒只有将自己尽可能地扩散，才能继续将自身继续传播，从而造成连锁效映到YAI的BUG问题,才使我意识到YAI可能已经流传并被滥用。其后的一天里我编写了YAI的自动卸载程序,于10月22日上传到主页，以供使用者下载,同时停止提供YAI的下载。这个卸载软件还可以查出YAI安装者的一些信息,以供参考。

我设计和编写YAI原本是出于对计算机网络程序开发的兴趣,提供到互联网只是为了让大家免费使用它,再给我提供一些修改建议,没想到事与愿违,令我非常遗憾。

这里,我想重复一下我对YAI不算是病毒的看法:

1.YAI在所有的文档中已对可能引起的后果提出了警告。

2.YAI的文档中包含有卸载说明。

3.YAI的寄生功能在文档中有明确说明，并只能由使用者人为启动。

4.YAI的设计不是以破坏为目的，它对系统的影响为BUG所至，依文档说明可完全恢复系统正常。

5.YAI只能在经许可的指定系统中运行。

6.YAI本身有运行警告提示。

有人将YAI比喻作‘枪支’,但我以为是‘菜刀’更合适。‘枪支’只有杀伤生灵(无论好坏)的惟一功能;而‘菜刀’的主要功能是切菜,使用不当偶尔也可能伤到手指,但用它去杀人,就不是造刀人的初衷了……”

那么,杜江真的是被冤枉的么?YAI到底能不能算是病毒呢?还是让我们来看看专家的意见吧。据某著名媒体的测评报告中这样写道:“要了解YAI是不是病毒,我们首先要了解病毒是什么,《中华人民共和国计算机信息系统安全保护条例》的二十八条对病毒的定义是:计算机病毒是指编制或者在计算机程序中破坏计算机功能或者毁坏数据，影响计算机使用,并能自我复制的一组计算机指令或者程序代码。这个定义明确表明了计算机病毒的破坏性和传染性是病毒最重要的两个特征。”

生物界的病毒会从一个生物体扩散到另外一个生物体，并在这些被感染的生物体内大量繁殖。同样,计算机病毒必须通过各种渠道从已经被感染的文件扩散到其他文件，从已经被感染的计算机扩散到其他计算机,这就是病毒的传染性。计算机病毒会通过各种可能的渠道,如内存、软盘、CD、网络等一切可能渠道去传染其他程序或计算机。病毒只有将自己尽可能地扩散，才能继续将自身继续传播，从而造成连锁效成巨大破坏后,将此病毒加入KILL98最新升级文件,并将此升级文件向全国发布。

警惕“潘多拉之盒”

杜江的意思显而易见,那就是“YAI不是病毒,而是远程控制软件”。也许更确切地说,应当是“设计得还不完善的远程控制软件”。但是专家们的测评报告也很清楚地指出:“YAI是一个恶性病毒。”的确,虽然远程控制早已不是什么新名词,此类软件也已经使用很多年了,但是这种软件的特殊性仍然不容忽视。由于远程控制软件允许对用户的被控端计算机进行远程访问,因此就可能将PC暴露给未授权的用户进行访问,这将使入侵者能够访问该计算机上的机密信息，并经由该计算机获得所有网络资源。无论是远程控制软件的开发者还是使用者,都对其格外小心,因为它的任何设计或安全漏洞都可能造成严重的危害。

软件中存在缺陷司空见惯。作为个人软件开发者,YAI的作者显然不具备专业软件开发公司的综合设计能力与测试手段，软件中出现设计缺陷并不是什么令人惊讶的事。然而由于远程控制软件在被控端寄生的特殊性,这种缺陷就可能对用户系统造成危害。

诚然,作者的初衷或许并非是制造肆意传播的病毒,也不是为黑客提供入侵他人系统的工具,而是软件开发中的疏漏。但必须明确:真理再前进一步就是谬误,带有缺陷的软件也就难免造成如病毒般的危害。

在计算机词典中,我们看到对病毒的解释:“一种传染程序,它能将自身的副本插入到计算机文件中从而感染这些文件。当受感染的文件被加载到内存时,这些副本开始执行,又开始感染别的文件,这样一直循环下去。病毒通常具有破坏性,例如,损坏计算机的硬盘或占据其他程序所用的内存空间。这种破坏可能是有意的,也可能是无意的。”虽然这一解释并不具备法律上的强制性，但也清楚地说明了病毒的基本特性。个人软件开发者的热情与辛勤劳动是我们民族软件开发业发展的可贵资源之一。然而仅凭个人的创造力是无法与实力雄厚的舶来品抗衡的。我们期待个人软件开发者的联合,期待将个人领先的创意转化为成熟的产品,也期待我们再无需“是病毒,还是软件”的讨论。

吸取了CIH病毒造成巨额损失的教训,各个新闻媒体进行了广泛宣传预警,公安部门、杀毒公司积极协同防范,YAI病毒迅速在大范围被捕杀,很快就消失了。杜江也在接受了公安部门的质询与警告后，继续着他的学业,研究他心爱的计算机科学。