W32/Kriz.3862病毒包含一個十分危險的硬驅動和覆蓋CMOS的子程式,在12月25日將被激活。該病毒感染Win95/98/NT下的PE EXE檔案,它是多態的,當一個染毒的檔案被執行,病毒將駐留記憶體直到下次系統啟動。病毒代碼是加密的。當病毒駐留記憶體時打開任何應用程式檔案都將被病毒感染,而且只要掃描檔案就會感染病毒。
基本介紹
- 外文名:W32/Kriz.3862
- 類型:病毒
- 時間:12月25日
- 平台:Win95/98/NT
該病毒具有一個有效載荷,當染毒檔案在12月25日運行時被觸發,病記員毒將試圖擦除CMOS信
息,乃匪乎朽同時試圖直接擦除道煮騙硬碟扇區,並用垃圾信息填充FLASH BIOS(針對某些類型的 BIOS),一
旦上述情況發生,則機器將無法啟動,這有點像CIH病毒的行為,不僅機器無法啟動甚至無法
從軟碟啟動。在某些情況下病毒對染毒檔案進行破壞,使得清除不能進行。
病槓牛才毒感染kernel32.dll,用自身代碼替換原來鑽葛閥的內容,這樣該檔案將無法修復,只能用好
的檔案替換。當病毒第一抹慨墓擔次運行在一台乾淨的機器上時,它首先檢查KERNEL32.DLL是否被感染,
被感染說明病毒已經存在,如果沒有,病毒將把KERNEL32.DLL複製到 WINDOWS\SYSTEM\KRIZED.TT6
。病毒還將創祖棵旋建WINDOWS\WININIT.INI 檔案其中包括下面一行:
[rename]
C:\WINDOWS\SYSTEM\KERNEL32.DLL=C:\WINDOWS\SYSTEM\KRIZED.TT6 這樣導致系統下一次重啟時
KERNEL32.DLL將被染毒副本替換。在染毒的KERNEL32.DLL副本中包含下列函式:
CopyFileA, CopyFileW, CreateFileA, CreateFileW, CreateProcessA, CreateProcessW,
DeleteFileA, DeleteFileW, GetFileAttributesA, GetFileAttributesW, MoveFileA,
MoveFileW, MoveFileExA, MoveFileExW, SetFileAttributesA, SetFileAttributesW
這樣PE執行檔在運行、複製、移動、掃描時將被病毒感染。
