【ChinaByte 综合消息】 近几日,反病毒专家――冠群金辰软件公司不断接到用户的电话,说发现电脑无法启动,询问是否中毒。来自天津某军区的用户称部队网络中有数台计算机出了问题。受到消息后,冠群金辰技术人员连夜赶赴天津,经过详细检查,技术专家发现这几台电脑不仅未做任何病毒防护,而且电脑时钟比正常时间提前三四天,而电脑操作异常的原因是它们的确中毒了。 该病毒名为Win32/Kriz(“KRIZ”是圣诞节Christmas的缩写),于每年的12月25日发作,该病毒曾在去年的圣诞节爆发,由于它与CIH有相同的破坏机制,能够破坏计算机的硬件,是计算机无法启动,它又被称为“圣诞CHI”。这个病毒曾于去年的圣诞节发作,它比CIH更具破坏性,它能够擦掉CMOS指令集合,覆盖所有可用驱动器中的数据文件,之后随即利用与CIH相同的程序毁坏计算机主板BION,使机器无法运行。据技术专家介绍,这是一种驻留内存型病毒,极易被复制到WIN95/98/NT系统内,可在多种操作平台上肆意传播。当执行染毒文件时,病毒会感染Windows下扩展名为.EXE和.SCR的文件,以及通常只能在只读情况下打开的KERNELL32.DLL文件,感染过程为:首先,病毒会在Windows系统目录中创建一个临时文件并制作一个副本文件KRIZED.TT6,然后感染它并在WIN.INI文件中加入“重命名”指令,以此感染KERNELL32.DLL副本。当Windows再次启动时,染毒的副本文件将强制替换原始的KERNELL32.DLL。

  一旦病毒感染成功,病毒就会修改输出功能表(Export table)和功能地址,当Windows再次重启时,病毒链表(virus hooker)就会过滤调用KERNEL32的功能操作,使病毒程序可以检测文件读取行为。感染KERNELL32.DLL的病毒会使链表文件读取功能异常,组织文件进行复制、开启、移动等操作,并感染所读取的文件。

  当感染某个文件时,病毒会根据自己的版本选择是在文件末端写入病毒代码,还是在文件末端创建一个新文件。同时,为有效区别文件是否染毒,避免对同一文件进行重复感染而造成系统异常,病毒会在文件头保留区写入“666”ID字符串作为感染标记,它首先检查此文件是否含有“感染标记”,若没有则立即进行感染。

  “圣诞CIH病毒”的“智商”很高,编写者为了能使病毒大面积传播,特意将病毒设计成加密型病毒,使它不仅进行简单的感染动作,而且会躲避防病毒软件的侦测。

  需要特别说明的是,这个“圣诞CIH”与前一段时间大肆流行的“Navidad”病毒并无关连,但同样具有可怕的破坏性,多个地区众多用户先后中毒,该病毒大有卷土重来之势。目前,冠群金辰已经将此病毒列为高危险病毒。

  反毒专家提醒您,圣诞、元旦将至,千万别放松病毒防护,要高度警惕节日病毒的大规模爆发。如果您的电脑已经有了KILL杀毒软件,您可以尽管放心,KILL V4.24-8(1999年8月26日)版本早就已经能够查杀这个病毒;不过最近病毒猖狂,为以防万一,请您看看它是否最新版本,若不是,请到KILL的网站(www.kill.com.cn )或当地门市及时升级;若尚未安装病毒防护产品,比较笨的办法是:检查电脑的时钟并修改时间,避过最近几日的病毒高发期,不过,现在每天都有要发作的病毒,令人防不胜防,建议您还是装上一个为好。