Viruset er først beskrevet av den amerikansk-russiske antivirusleverandøren Central Command / Kaspersky Lab - kjent for AntiViral Toolkit. Det fikk det tilsendt anonymt per e-post.
Foreløpig er det bare én bekreftet observasjon av dette viruset i det fri, i USA. Win32.Kriz - eller W32.Kriz - vekker forferdelse og beundring blant ekspertene som har studert det.
Viruset er minneresident og polymorft. Det infiserer exe- og scr-filer, altså programmer og skjermsparere. Det nytter en avansert, men kjent metode til å orme seg inn i filen kernel32.dll som spiller en sentral rolle i alle varianter av 32 biters Windows. Viruset bruker denne filen til blant å overvåke alle filoperasjoner som maskinen utfører.
Når viruset slår til 25. desember, slettes CMOS-minnet (der maskinens oppsettinformasjon lagres), data på alle filer på alle tilgjengelige disker overskrives, og FlashBIOS ødelegges etter den samme metoden som CIH-viruset (også kjent som Tsjernobyl) benyttet.
For å kvitte seg med viruset, må den infiserte maskinen startes fra en ren oppstartdiskett, og kernel32.dll må erstattes fra en ren og uinfisert sikkerhetskopi, før man setter i gang rutiner for å reparere skadede exe- og scr-filer.
Nærmere detaljer finnes på nettstedet til Central Command, under rubrikken Virus Info. Der gjengis også hele den obskøne teksten som virusforfatteren har lagt inn i koden, uvisst av hvilken grunn.
Den største forskjellen i ødeleggelsespotensialet mellom Win32.Kriz og CIH ligger i at Kriz også slår til mot Windows NT. CIH ødela flere hundre tusen PC-er, særlig i Sørøst-Asia. Ekspertene frykter store ødeleggelser første juledag i miljøer som ikke er så nøye med virusbeskyttelse.
