Win32.XmasFmt.a是一個惡意的感染型病毒,每年的12月24、25號(聖誕節)發作,被感染的EXE檔案一旦運行,會刪除整個硬碟上所有的檔案。
基本介紹
- 中文名:Win32.XmasFmt.a
- 處理時間:2005-09-01
- 威脅級別:★
- 病毒類型:Win32病毒
- 影響系統:Win 9x/ME,Win 2000/NT,Win XP
病毒行為,傳播過程,
病毒行為
在其它時候,被感染的EXE檔案運行後,會每隔3秒種感染另一個正常的EXE
檔案。用戶一旦被感染這種惡意病毒,平時不會覺察,病毒伺機感
染硬碟上的所有執行檔。一旦到了聖誕節,只要被感染的EXE檔案
運行起來,病毒代碼會瘋狂的刪除硬碟檔案,普通方法很難阻止。
傳播過程
1. 病毒代碼將自身添加到正常EXE檔案的尾部,並通過修改程式執行入口,獲
得控制權;
2. 病毒會在當前路徑下釋放一個名為0le32.dll(Win32.Troj.DelFiles.r)
的動態鏈結檔案,並載入這個DLL,然後執行原程式。0le32.dll的初始化
代碼會創建惡意執行緒,執行破壞行為。
3. 惡意執行緒首先獲取當前日期,如果是12月24、25號,會彈出一個名為
“Merry Christmas!!! Today, i don't work!!!”對話框,點擊“確定”
後,該執行緒將遍歷硬碟上所有的檔案,並進行刪除;如果是其它日期,
該執行緒會遍歷硬碟上的EXE檔案,並進行感染,感染成功後,會暫停3秒種,
然後繼續感染。只要EXE程式不結束,惡意執行緒就會不斷感染正常的EXE文
件,直到將所有的EXE檔案感染為止。
