如何預防和檢測PE病毒？

熱心網友

PE_YAI是一個包含兩個文件的后門特洛伊（Backdoor trojan）程序。 服務器端的程序是PE_YAI。SER，客戶端程序是PE_YAI。CLI。 一旦執行服務器端后門特洛伊程序PE_YAI。SER，PE_YAI。SER就會感染硬盤中的一個文件。在感染之前，PE_YAI。SER先將自己調入內存中，然后從一客戶端處開啟一個遠程鏈接端口。一旦調入后門特洛伊程序，它就會在特定條件下檢查所執行的文件是否已被感染病毒。它的病毒感染方式極類似于聲名狼籍的同類種病毒。一旦發現文件已遭感染，它就會將原始文件更名為與自己相同的名稱，只是擴展名不同而已。然后將自己的文件名更改為與原始文件相同的名稱。在同一目錄中，每次調入、選擇或執行原始文件名稱時，它就會先在內存中檢查自己，然后利用與ShellExecute命令相同的功能調用原始文件。而實際上它卻啟用的是隱藏在相同目錄下擴展名不同的原始文件。對于染毒文件如CALC。EXE來說，若在一個無毒電腦上執行該文件，病毒將僅執行或調用電腦上同一程序。 因為目錄C:\WINDOWS, C:\WINDOWS\COMMAND等是被設置到登錄表路徑中，它只能呼叫并執行原始文件。這同時也說明了它是如何象執行普通或標準文件那樣執行病毒程序的。若檢查文件是否染毒，只要檢查文件的大小就可以啦。因為文件染毒后，大小會增加200K至300K個字節。另一方法是檢查系統中是否含附加擴展名“～。txt”的文件。例如，啟動一個命令外殼，并執行DIR/S/B*~。TMP，若發現任何CALC～。TMP的文件，就證明系統已被感染。若清除此病毒，只要通過掃描系統搜索到染毒文件，并將其清除即可。接下來，將“＊~。TMP”重新更名為“＊。EXE”，以恢復原始文件。例如，您若發現一個長達200K的染毒文件CALC。EXE, 就請將它清除，然后將隱藏文件CALC~。TMP重命名為CALC。EXE。請注意， 在清除文件以前，請確信隱藏文件是有效文件。對于客戶端來講，PE_YAI。CLI就會通過一個開啟的端口，與相關遠端電腦相連。該目標電腦的IP地址必須可寫入或具備客戶端程序參數的功能。該缺省開放端口號碼至今未知。主要是程序本身的反調試代碼或字節所致。此病毒制造者為了阻止反調試代碼或字節作用于病毒程序，故添加了這個功能。也就是說，反病毒工程師很難排除代碼或深入研究病毒程序詳細的運作規律。即使是最完善的工具也無法透視程序的運行。服務器特洛伊程序根據文件擴展名來命名病毒名稱。在特殊情況下，染毒程序會將自己復制到相同的目錄中，而有些時候還會沿用相同的文件名, 但不同的擴展名“～。TMP。YAI”此Win32應用程序是一個后門特洛伊（Backdoor trojan），十分類似于黑客程序（BackOrifice），即開啟一個通訊口將用戶與服務器相連，并提供必須的IP地址和缺省端口號。可以在網上下載專殺工具查殺。。

熱心網友

PE病毒是指所有感染Windows下PE文件格式文件的病毒防御方法是：1、通過微軟網站打上所有的xp和office安全補丁，特別是xp sp2 和office 2003 sp22、及時升級殺毒軟件的最新病毒庫檢測方法是：請在安全模式下操作1、用木馬克星5.50檢測2、用最新的殺毒軟件（如江民、瑞星等）檢測