Зловредный вирус может омрачить вам Рождество

Компания Symantec решила припугнуть пользователей персоналок, сообщая о потенциальной угрозе, которую несет в себе опасный резидентный полиморфный Windows-вирус под названием Win32.Kriz. Вирус известен также под названием Christmas, поскольку самозапускается на инфицированной машине 25 декабря, в день католического Рождества. На своем сайте (http://www.symantec.com/avcenter/) Symantec также предлагает бесплатную программку для тестирования компьютеров на наличие этого вируса с последующим удалением оного при обнаружении.

Вирус Win32.Kriz был обнаружен в начале июля 1999 года специалистами российской компании «Лаборатория Касперского». Он использует ряд приемов печально известного вируса «Win95_CIH» (Чернобыль). Однако зарегистрированный прошлым летом вирус может наделать еще больше вреда. Его модификации не заставили себя долго ждать. В августе 1999 они начали появляться, о чем 18.08.99 г. сообщил ряд информационных агентств мира.

Размножается вирус под Win32 и заражает выполняемые файлы Windows (PE EXE-файлы), которые имеют расширения .EXE и .SCR. Вирус также заражает KERNEL32.DLL, что позволяет вирусу оставаться в системе резидентно на все время работы Windows. Вирус при этом заражает KERNEL32.DLL таким образом, что копия вируса перехватывает функции KERNEL32: открытие, копирование, перемещение файлов и т.д. При вызове таких функций вирус заражает файлы, к которым идет обращение. Вирус проверяет имена файлов и не заражает некоторые антивирусные программы:

_AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE, N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE, NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE, SMSS.EXE

Вирус имеет крайне опасную деструктивную процедуру, которая активизируется 25 декабря. В этот день вирус при обращении к первому .EXE- или .SCR-файлу стирает CMOS, записывает «мусор» во все файлы во всех подкаталогах на всех дисках от C: до Z:, затем портит Flash BIOS (при этом использует процедуру из вируса «Win95_CIH» — «Чернобыль»).

Подробнее о вирусе Kriz читайте в вирусной энциклопедии «Лаборатории Касперского».

Процедуры обнаружения и удаления Win32.Kriz, а также его модификаций, уже давно (сразу после появления вируса) добавлены в антивирусные базы «Антивируса Касперского» (AVP), которые обновляются ежедневно. Так что всем пользователям AVP, регулярно обновляющим базы, опасность заражения этим вирусом не угрожает.