病毒标签:
病毒名称: virus.win32.yangmin.a
中文名称: 新 cih
病毒类型: 病毒
危害等级: 低
文件长度: 989字节
感染系统: 无法感染
开发工具: 汇编
加壳类型: 无
病毒描述:
该病毒首先判断 kernel32.dll模块在进程中的偏移地址。由于不同os下的kernel基地址的差异,9x/xp不满足病毒的感染条件,将返回原程序入口点执行。对于2k系统,病毒先判断是否被调试,不是则试图加载advapi.dll和ntdll.dll库并获取相关api。病毒企图操作物理内存,但由于作者对zwopensection函数的错误使用,导致操作失败,将跳回原程序入口点继续执行。病毒试图采用映射物理内存的方法,破坏bios。由此,可以初步判定该病毒带有一定试验性质,不会造成广泛传播。
行为分析:
1、获取kernel32.dll的起始地址,并获取相关的api。若kernell32的起始地址偏移是77e60000(2k系统的偏移是77e60000)就执行病毒程序,不是则跳回原程序入口点执行。
2、调用isdebuggerpresent判断是否被调试,并判断系统是否安装的softice。这两种判断结果只要有一种成立则跳回原程序入口点执行,不是则继续执行。
3、企图调用zwopensection函数打开物理内存,失败则跳回原程序入口点执行。由于作者对zwopensection函数的错误使用,导致操作失败跳回程序入口点继续执行。
由于这个错误导致该病毒在 2k下也无法传播,因此可以初步判定该病毒具有试验性质,不会造成大范围的传染和破坏。
我们目前的分析结果表明,这4个样本不具备感染能力,即使样本运行,在9x,2k,xp下都无法成功感染其它文件,另外我们的用户上报系统和vds网络监控系统都没有发现有此病毒活跃迹象。
我们会继续关注此病毒最新状况。
|
