病毒别名:
处理时间:2005-09-01
威胁级别:★
中文名称:
病毒类型:Win32病毒
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个恶意的感染型病毒,每年的12月24、25号(圣诞节)发作,
,被感染的EXE文件一旦运行,会删除整个硬盘上所有的文件。在其它
时候,被感染的EXE文件运行后,会每隔3秒种感染另一个正常的EXE
文件。用户一旦被感染这种恶意病毒,平时不会觉察,病毒伺机感
染硬盘上的所有可执行文件。一旦到了圣诞节,只要被感染的EXE文件
运行起来,病毒代码会疯狂的删除硬盘文件,普通方法很难阻止。
1. 病毒代码将自身添加到正常EXE文件的尾部,并通过修改程序执行入口,获
得控制权;
2. 病毒会在当前路径下释放一个名为0le32.dll(Win32.Troj.DelFiles.r)
的动态链结文件,并加载这个DLL,然后执行原程序。0le32.dll的初始化
代码会创建恶意线程,执行破坏行为。
3. 恶意线程首先获取当前日期,如果是12月24、25号,会弹出一个名为
“Merry Christmas!!! Today, i don't work!!!”对话框,点击“确定”
后,该线程将遍历硬盘上所有的文件,并进行删除;如果是其它日期,
该线程会遍历硬盘上的EXE文件,并进行感染,感染成功后,会暂停3秒种,
然后继续感染。只要EXE程序不结束,恶意线程就会不断感染正常的EXE文
件,直到将所有的EXE文件感染为止。