[注意]新 CIH 病毒...

virus.win32.yangmin.a（新 CIH ）病毒分析报告 安天信息技术有限公司 Cert 小组

一、病毒标签： 病毒名称： virus.win32.yangmin.a 中文名称：新 CIH 病毒类型：病毒 危害等级：低 文件长度： 989字节 感染系统：无法感染 开发工具： Visual C++ 6.0 加壳类型：无

二、病毒描述： 该病毒首先判断 kernel32.dll模块在进程中的偏移地址。由于不同OS下的kernel基地址的差异，9X/XP不满足病毒的感染条件，将返回原程序入口点执行。对于2K系统，病毒先判断是否被调试，不是则试图加载ADVAPI.DLL和NTDLL.DLL库并获取相关API。病毒企图操作物理内存，但由于作者对ZwOpenSection函数的错误使用，导致操作失败，将跳回原程序入口点继续执行。病毒试图采用映射物理内存的方法，破坏BIOS。由此，可以初步判定该病毒带有一定试验性质，不会造成广泛传播。 三、行为分析： 1、获取kernel32.dll的起始地址，并获取相关的API。若kernell32的起始地址偏移是77E60000（2K系统的偏移是77E60000）就执行病毒程序，不是则跳回原程序入口点执行。

2、调用IsDebuggerPresent判断是否被调试,并判断系统是否安装的SOFTICE。这两种判断结果只要有一种成立则跳回原程序入口点执行，不是则继续执行。

3、企图调用ZwOpenSection函数打开物理内存，失败则跳回原程序入口点执行。由于作者对ZwOpenSection函数的错误使用，导致操作失败跳回程序入口点继续执行。

由于这个错误导致该病毒在 2K下也无法传播，因此可以初步判定该病毒具有试验性质，不会造成大范围的传染和破坏。

我们目前的分析结果表明，这4个样本不具备感染能力，即使样本运行，在9x,2k,xp下都无法成功感染其它文件，另外我们的用户上报系统和VDS网络监控系统都没有发现有此病毒活跃迹象。

我们会继续关注此病毒最新状况。

查看网站了解更多信息：http://www.antiy.com/resource/cert/alarm/20050521.htm 关于安天： 安天信息技术有限责任公司（中国安天实验室,Antiy Labs），是一家以网络信息安全为主要领域的综合性信息技术研发型企业。公司在反病毒、信息水印等前沿领域积极探索，持续研发，拥有自有核心技术和产品。 作为一家高端技术输出企业，安天始终以技术为先导，创造为灵魂，始终在后台不懈耕耘。几年来，以上游技术/资源供应商的身份，为国内外安全企业、关键系统、有关高校等，提供了相关技术或产品，并以此回报公众，服务社会。

哦,了解