W32/Kriz.3862病毒包含一个十分危险的硬驱动和覆盖CMOS的子程序,在12月25日将被激活。

该病毒感染Win95/98/NT下的PE EXE文件，它是多态的，当一个染毒的文件被执行，病毒将

驻留内存直到下次系统启动。病毒代码是加密的。当病毒驻留内存时打开任何应用程序文件

都将被病毒感染，而且只要扫描文件就会感染病毒。

该病毒具有一个有效载荷，当染毒文件在12月25日运行时被触发，病毒将试图擦除CMOS信

息，同时试图直接擦除硬盘扇区，并用垃圾信息填充FLASH BIOS（针对某些类型的 BIOS），一

旦上述情况发生，则机器将无法启动，这有点像CIH病毒的行为，不仅机器无法启动甚至无法

从软盘启动。在某些情况下病毒对染毒文件进行破坏，使得清除不能进行。

病毒感染kernel32.dll，用自身代码替换原来的内容，这样该文件将无法修复，只能用好

的文件替换。当病毒第一次运行在一台干净的机器上时，它首先检查KERNEL32.DLL是否被感染，

被感染说明病毒已经存在，如果没有，病毒将把KERNEL32.DLL复制到 WINDOWS\\SYSTEM\\KRIZED.TT6

。病毒还将创建WINDOWS\\WININIT.INI 文件其中包括下面一行：

[rename]

C:\\WINDOWS\\SYSTEM\\KERNEL32.DLL=C:\\WINDOWS\\SYSTEM\\KRIZED.TT6 这样导致系统下一次重启时

KERNEL32.DLL将被染毒副本替换。在染毒的KERNEL32.DLL副本中包含下列函数：

CopyFileA, CopyFileW, CreateFileA, CreateFileW, CreateProcessA, CreateProcessW,

DeleteFileA, DeleteFileW, GetFileAttributesA, GetFileAttributesW, MoveFileA,

MoveFileW, MoveFileExA, MoveFileExW, SetFileAttributesA, SetFileAttributesW

这样PE可执行文件在运行、复制、移动、扫描时将被病毒感染。