近几日，反病毒专家——冠群金辰软件公司不断接到用户的电话，说发现电脑无法启动，询问是否中毒。来自天津某军区的用户称部队网络中有数台计算机出了问题。受到消息后，冠群金辰技术人员连夜赶赴天津，经过详细检查，技术专家发现这几台电脑不仅未做任何病毒防护，而且电脑时钟比正常时间提前三四天，而电脑操作异常的原因是它们的确中毒了。

　　该病毒名为Win32/Kriz(“KRIZ”是圣诞节Christmas的缩写)，于每年的12月25日发作，该病毒曾在去年的圣诞节爆发，由于它与CIH有相同的破坏机制，能够破坏计算机的硬件，是计算机无法启动，它又被称为“圣诞CHI”。这个病毒曾于去年的圣诞节发作，它比CIH更具破坏性，它能够擦掉CMOS指令集合，覆盖所有可用驱动器中的数据文件，之后随即利用与CIH相同的程序毁坏计算机主板BION，使机器无法运行。据技术专家介绍，这是一种驻留内存型病毒，极易被复制到WIN95/98/NT系统内，可在多种操作平台上肆意传播。当执行染毒文件时，病毒会感染Windows下扩展名为.EXE和.SCR的文件，以及通常只能在只读情况下打开的KERNELL32.DLL文件，感染过程为：首先，病毒会在Windows系统目录中创建一个临时文件并制作一个副本文件KRIZED.TT6，然后感染它并在WIN.INI文件中加入“重命名”指令，以此感染KERNELL32.DLL副本。当Windows再次启动时，染毒的副本文件将强制替换原始的KERNELL32.DLL。

　　一旦病毒感染成功，病毒就会修改输出功能表(Export table)和功能地址，当Windows再次重启时，病毒链表(virus hooker)就会过滤调用KERNEL32的功能操作，使病毒程序可以检测文件读取行为。感染KERNELL32.DLL的病毒会使链表文件读取功能异常，组织文件进行复制、开启、移动等操作，并感染所读取的文件。

　　当感染某个文件时，病毒会根据自己的版本选择是在文件末端写入病毒代码，还是在文件末端创建一个新文件。同时，为有效区别文件是否染毒，避免对同一文件进行重复感染而造成系统异常，病毒会在文件头保留区写入“666”ID字符串作为感染标记，它首先检查此文件是否含有“感染标记”，若没有则立即进行感染。

　　“圣诞CIH病毒”的“智商”很高，编写者为了能使病毒大面积传播，特意将病毒设计成加密型病毒，使它不仅进行简单的感染动作，而且会躲避防病毒软件的侦测。需要特别说明的是，这个“圣诞CIH”与前一段时间大肆流行的“Navidad”病毒并无关连，但同样具有可怕的破坏性，多个地区众多用户先后中毒，该病毒大有卷土重来之势。目前，冠群金辰已经将此病毒列为高危险病毒。

　　反毒专家提醒您，圣诞、元旦将至，千万别放松病毒防护，要高度警惕节日病毒的大规模爆发。如果您的电脑已经有了KILL等杀毒软件，您可以尽管放心，KILL V4.24-8(1999年8月26日)版本早就已经能够查杀这个病毒；不过最近病毒猖狂，为以防万一，请您看看它是否最新版本，若不是，请到KILL的网站(www.kill.com.cn )或当地门市及时升级；若尚未安装病毒防护产品，比较笨的办法是：检查电脑的时钟并修改时间，避过最近几日的病毒高发期，不过，现在每天都有要发作的病毒，令人防不胜防，建议您还是装上一个为好。