Virus slakter din PC til jul

Et ny-oppdaget virus smitter kontinuerlig, men slår bare til på første juledag. Da mister infiserte PC-er innholdet i oppsettminne, FlashBIOS og disk. Win32.Kriz rammer Windows 95, 98 og NT.

Viruset er først beskrevet av den amerikansk-russiske antivirusleverandøren Central Command / Kaspersky Lab - kjent for AntiViral Toolkit. Det fikk det tilsendt anonymt per e-post.

Foreløpig er det bare én bekreftet observasjon av dette viruset i det fri, i USA. Win32.Kriz - eller W32.Kriz - vekker forferdelse og beundring blant ekspertene som har studert det.

Viruset er minneresident og polymorft. Det infiserer exe- og scr-filer, altså programmer og skjermsparere. Det nytter en avansert, men kjent metode til å orme seg inn i filen kernel32.dll som spiller en sentral rolle i alle varianter av 32 biters Windows. Viruset bruker denne filen til blant å overvåke alle filoperasjoner som maskinen utfører.

Når viruset slår til 25. desember, slettes CMOS-minnet (der maskinens oppsettinformasjon lagres), data på alle filer på alle tilgjengelige disker overskrives, og FlashBIOS ødelegges etter den samme metoden som CIH-viruset (også kjent som Tsjernobyl) benyttet.

For å kvitte seg med viruset, må den infiserte maskinen startes fra en ren oppstartdiskett, og kernel32.dll må erstattes fra en ren og uinfisert sikkerhetskopi, før man setter i gang rutiner for å reparere skadede exe- og scr-filer.

Nærmere detaljer finnes på nettstedet til Central Command, under rubrikken Virus Info. Der gjengis også hele den obskøne teksten som virusforfatteren har lagt inn i koden, uvisst av hvilken grunn.

Den største forskjellen i ødeleggelsespotensialet mellom Win32.Kriz og CIH ligger i at Kriz også slår til mot Windows NT. CIH ødela flere hundre tusen PC-er, særlig i Sørøst-Asia. Ekspertene frykter store ødeleggelser første juledag i miljøer som ikke er så nøye med virusbeskyttelse.

Til toppen