病毒别名：

处理时间：2004-04-16

威胁级别：★

中文名称：

病毒类型：Win32病毒

影响系统：win9x/win2K

病毒行为:

Kriz家族

编写工具:

asm

传染条件:

这是一个变形病毒，驻留内存，通过感染其他文件而进行传播。

发作条件:

1，当被病毒首次被运行时，病毒修改KERNEL32.DLL，替换了与文件操作的有关函数，这样得以驻留内存，被接管函数如下：

CopyFileA CopyFileW

CreateFileA CreateFileW

DeleteFileA DeleteFileW

MoveFileA MoveFileExA MoveFileW MoveFileExW

GetFileAttributesA SetFileAttributesW

SetFileAttributesA SetFileAttributesExA

CreateProcessA CreateProcessW

2，检测并结束下列进程：

_AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE,

N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE,

NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE,

SMSS.EXE

3，病毒在11月25号发作，发作时感染任意类型被操作的文件，并清除cmos内容，用垃圾数据填充硬盘，擦除cmos的Flash记忆体(和cih病毒操作方式相同)。

4，这个版本还捆绑了一个funlove蠕虫，同时带有下列字符串:

T-2000 / Immortal Riot

5，病毒通过打开下列句柄检测是否被跟踪：

\tice \\.ice

如果发现被跟踪也将执行上述破坏代码.

系统修改:

发作现象:

特别说明: