减小字体
增大字体- ·上一篇文章:Trojan-Psw.Win32.Lmir.ac 分析
- ·下一篇文章:Trojan.Win32.Agent.bi 分析
virus.win32.yangmin.a(新CIH) 分析
病毒标签:
病毒名称: virus.win32.yangmin.a
中文名称: 新 CIH
病毒类型: 病毒
危害等级: 低
文件长度: 989字节
感染系统: 无法感染
开发工具: 汇编
加壳类型: 无
病毒描述:
该病毒首先判断 kernel32.dll模块在进程中的偏移地址。由于不同OS下的kernel基地址的差异,9X/XP不满足病毒的感染条件,将返回原程序入口点执行。对于2K系统,病毒先判断是否被调试,不是则试图加载ADVAPI.DLL和NTDLL.DLL库并获取相关API。病毒企图操作物理内存,但由于作者对ZwOpenSection函数的错误使用,导致操作失败,将跳回原程序入口点继续执行。病毒试图采用映射物理内存的方法,破坏BIOS。由此,可以初步判定该病毒带有一定试验性质,不会造成广泛传播。
行为分析:
1、获取kernel32.dll的起始地址,并获取相关的API。若kernell32的起始地址偏移是77E60000(2K系统的偏移是77E60000)就执行病毒程序,不是则跳回原程序入口点执行。
2、调用IsDebuggerPresent判断是否被调试,并判断系统是否安装的SOFTICE。这两种判断结果只要有一种成立则跳回原程序入口点执行,不是则继续执行。
3、企图调用ZwOpenSection函数打开物理内存,失败则跳回原程序入口点执行。由于作者对ZwOpenSection函数的错误使用,导致操作失败跳回程序入口点继续执行。
由于这个错误导致该病毒在 2K下也无法传播,因此可以初步判定该病毒具有试验性质,不会造成大范围的传染和破坏。
我们目前的分析结果表明,这4个样本不具备感染能力,即使样本运行,在9x,2k,xp下都无法成功感染其它文件,另外我们的用户上报系统和VDS网络监控系统都没有发现有此病毒活跃迹象。
我们会继续关注此病毒最新状况。
病毒名称: virus.win32.yangmin.a
中文名称: 新 CIH
病毒类型: 病毒
危害等级: 低
文件长度: 989字节
感染系统: 无法感染
开发工具: 汇编
加壳类型: 无
病毒描述:
该病毒首先判断 kernel32.dll模块在进程中的偏移地址。由于不同OS下的kernel基地址的差异,9X/XP不满足病毒的感染条件,将返回原程序入口点执行。对于2K系统,病毒先判断是否被调试,不是则试图加载ADVAPI.DLL和NTDLL.DLL库并获取相关API。病毒企图操作物理内存,但由于作者对ZwOpenSection函数的错误使用,导致操作失败,将跳回原程序入口点继续执行。病毒试图采用映射物理内存的方法,破坏BIOS。由此,可以初步判定该病毒带有一定试验性质,不会造成广泛传播。
行为分析:
1、获取kernel32.dll的起始地址,并获取相关的API。若kernell32的起始地址偏移是77E60000(2K系统的偏移是77E60000)就执行病毒程序,不是则跳回原程序入口点执行。
2、调用IsDebuggerPresent判断是否被调试,并判断系统是否安装的SOFTICE。这两种判断结果只要有一种成立则跳回原程序入口点执行,不是则继续执行。
3、企图调用ZwOpenSection函数打开物理内存,失败则跳回原程序入口点执行。由于作者对ZwOpenSection函数的错误使用,导致操作失败跳回程序入口点继续执行。
由于这个错误导致该病毒在 2K下也无法传播,因此可以初步判定该病毒具有试验性质,不会造成大范围的传染和破坏。
我们目前的分析结果表明,这4个样本不具备感染能力,即使样本运行,在9x,2k,xp下都无法成功感染其它文件,另外我们的用户上报系统和VDS网络监控系统都没有发现有此病毒活跃迹象。
我们会继续关注此病毒最新状况。
