簡介
這種名為PE_KRIZ.3740(又稱聖誕CIH)的病毒,每逢12月25日發作,發作時同樣可以破壞BIOS(破壞方式與4月26日CIH相同),還可以破壞CMOS數據,並且會用垃圾數據覆蓋所有硬碟驅動器(包括C驅和其它所有邏輯分區)中的所有檔案,更有甚者這個病毒的編寫者為了能使病毒大面積傳播與破壞,把病毒設計成了加密型病毒,並且使這個病毒可以成功地避開普通防毒軟體的偵測。
通過這個病毒的名字,我們可以看出這個病毒的一些基本特徵:這個病毒的名字是由三部分組成,第一部分"PE"表征著這個病毒的類型,PE是Portable Execute的縮寫 (與Native Execute的NE相對照),它表明這個病毒類型是32位定址的線性增強模型保護模式檔案;下劃線作為分隔設定,後面的"KRIZ"是這個病毒名字的第二部分,也是這個病毒的真實名字。由於這個病毒的觸發模組代碼部分是以日期作為判斷條件的,即病毒的發作是在每次的12月25日,由於剛好是聖誕節的時間,所以我們也稱它為聖誕節病毒(Christmas Virus),KRIZ就是按聖誕節(Christmas)的英文發音來起的名字;這個名字的第三部分是".3740",這部分表征著病毒的屬性,即:這個病毒惡性代碼大小為3740位元組。
了解了這個病毒名字的含義,我們就已經了解了這個病毒的不少特徵了,由於這個病毒是一個Win32 Exec型的病毒,所以也有人稱它為W/32.KRIZ病毒;又由於這個病毒是在聖誕節時間發作,並且它與4月26日發作的CIH(PE_CIH,又稱Win95_CIH)有類似的破壞性,所以又有人稱它為"聖誕CIH"病毒,但這個病毒的破壞性比起4月26日發作的CIH來,是有過之而無不及。
通常KERNEL32.DLL檔案只能在唯讀情況下才能被打開,這種情況下病毒是不能感染它的。那么病毒到底是如何進行感染的呢?首先,病毒會先在Windows系統目錄中創建一個臨時檔案來製做一個副本檔案KRIZED.TT6,然後感染它並在 Wininit.ini檔案中輸入"重命名"指令,於是用這樣的辦法首先感染了KERNEL32.DLL副本,而在 Windows在第二次啟動時,以染毒的副本檔案強制替換原始的KERNEL32.DLL,這樣這個唯讀檔案就被感染了。
這種聖誕CIH病毒是一種駐留記憶體型的病毒,可以在WIN95/98/NT等多種操作平台上肆意傳播。當執行染毒檔案時,病毒會首先感染KERNELL32.DLL檔案,以駐留windows系統。一旦感染了KERNEL32.DLL檔案,病毒就會修改輸出功能表(Export table)和功能地址,這樣在Windows下一次啟動時,病毒鍊表(virus hooker)就會過濾調用KERNEL32的功能操作,從而便於病毒監測檔案讀取行為。感染KERNEL32.DLL的病毒會使鍊表檔案讀取功能異常,會阻止檔案進行複製、開啟、移動等操作,並會感染所讀取的檔案,但這個病毒"智商"很高,它並不是只進行簡單的感染動作,而是會對躲避反病毒軟體對它的偵測,當啟動染毒系統後,病毒會對正在操作的檔案進行感染,但它首先會檢查檔案名稱,如果檔案名稱有可能是防毒軟體的話,病毒就不會感染它們(後面將給出這個病毒所不感染的具體檔案名稱),否則它將感染每一個正在操作中的EXE和DLL檔案。
當感染一個檔案時,病毒會根據自己的版本選擇是在檔案末端寫入病毒代碼,還是在檔案末端創建一個新檔案,將自己的代碼加密並寫入。為有效區別檔案是否染毒,避免對同一檔案進行重複感染而造成系統異常,病毒會在檔案頭保留區寫入"666" ID字元串作為感染標記,它在感染某個檔案之前會先檢查此檔案是否含有自身的"感染標記",有則放棄,沒有則進行感染。這一行為本來是為病毒的隱蔽傳播而設計的,而在反病毒專家的眼裡,它反而成為偵測這種病毒的一個依據了;除此之外,這個病毒還帶有一些版權資訊,裡面有很多髒話,而沒有太大的作用,就不多介紹了。
綜合以上,大家可以注意到"聖誕CIH"的破壞性比以往的CIH病毒更為厲害:
1. 以往的CIH可以破壞主機板的BIOS,"聖誕CIH"同樣可以做到;
2. 以往的CIH只感染WIN95/98系統,而"聖誕CIH"除此之外還感染NT系統,破壞範圍更廣;
3. 以往的CIH只是覆蓋了C驅數據,而"聖誕CIH"除此之外還覆蓋所有的邏輯分區數據,破壞力更大;
4. "聖誕CIH"比以往的CIH具有更高的智商,可以更隱蔽地進行傳播。
為避免此病毒可能會因為覆寫檔案而造成不必要的麻煩,所以建議大家以防為主,提早安裝反病毒工具預防;另外我們還想提醒廣大用戶,修改計算機系統時間的話,可能會使該病毒提前發作,所以請大家留心。
