近幾日，反病毒專家──冠群金辰軟體公司不斷接到用戶的電話，説發現電腦無法啟動，詢問是否中毒。來自天津某軍區的用戶稱部隊網路中有數台電腦出了問題。收到消息後，冠群金辰技術人員連夜趕赴天津，經過詳細檢查，技術專家發現這幾臺電腦不僅未做任何病毒防護，而且電腦時鐘比正常時間提前三四天，而電腦操作異常的原因是它們的確中毒了。

    該病毒名為Win32/Kriz（“KRIZ”是耶誕節Christmas的縮寫），于每年的12月25日發作，該病毒曾在去年的耶誕節爆發，由於它與CIH有相同的破壞機制，能夠破壞電腦的硬體，是電腦無法啟動，它又被稱為“聖誕CIH”。這個病毒曾于去年的耶誕節發作，它比CIH更具破壞性，它能夠擦掉CMOS指令集合，覆蓋所有可用驅動器中的資料檔案，之後隨即利用與CIH相同的程式毀壞電腦主機板BION，使機器無法運作。據技術專家介紹，這是一種駐留記憶體型病毒，極易被複製到WIN95/98/NT系統內，可在多種操作平臺上肆意傳播。當執行染毒文件時，病毒會感染Windows下擴展名為.EXE和.SCR的文件，以及通常只能在只讀情況下打開的KERNELL32.DLL文件，感染過程為：首先，病毒會在Windows系統目錄中創建一個臨時文件並製作一個副本文件KRIZED.TT6，然後感染它並在WIN.INI文件中加入“重命名”指令，以此感染KERNELL32.DLL副本。當Windows再次啟動時，染毒的副本文件將強制替換原始的KERNELL32.DLL。

    一旦病毒感染成功，病毒就會修改輸出功能表（Export table）和功能地址，當Windows再次重啟時，病毒鏈表（virus hooker）就會過濾調用KERNEL32的功能操作，使病毒程式可以檢測文件讀取行為。感染KERNELL32.DLL的病毒會使鏈表文件讀取功能異常，組織文件進行複製、開啟、移動等操作，並感染所讀取的文件。

    當感染某個文件時，病毒會根據自己的版本選擇是在文件末端寫入病毒代碼，還是在文件末端創建一個新文件。同時，為有效區別文件是否染毒，避免對同一文件進行重復感染而造成系統異常，病毒會在文件頭保留區寫入“666”ID字符串作為感染標記，它首先檢查此文件是否含有“感染標記”，若沒有則立即進行感染。

    “聖誕CIH病毒”的“智商”很高，編寫者為了能使病毒大面積傳播，特意將病毒設計成加密型病毒，使它不僅進行簡單的感染動作，而且會躲避防病毒軟體的偵測。

    需要特別説明的是，這個“聖誕CIH”與前一段時間大肆流行的“Navidad”病毒並無關聯，但同樣具有可怕的破壞性，多個地區眾多用戶先後中毒，該病毒大有捲土重來之勢。目前，冠群金辰已經將此病毒列為高危險病毒。

    反毒專家提醒您，聖誕、元旦將至，千萬別放鬆病毒防護，要高度警惕節日病毒的大規模爆發。如果您的電腦已經有了KILL等殺毒軟體，您可以儘管放心，KILL V4.24-8（1999年8月26日）版本早就已經能夠查殺這個病毒；不過最近病毒倡狂，為以防萬一，請您看看它是否最新版本，若不是，請到KILL的網站（www.kill.com.cn ）或當地門市及時升級；若尚未安裝病毒防護産品，比較笨的辦法是：檢查電腦的時鐘並修改時間，避過最近幾日的病毒高發期，不過，現在每天都有要發作的病毒，令人防不勝防，建議您還是裝上一個為好。

    人民日報2000年12月25日