Win32.XmasFmt.a

病毒别名：

处理时间：2005-09-01

威胁级别：★

中文名称：

病毒类型：Win32病毒

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个恶意的感染型病毒，每年的12月24、25号（圣诞节）发作，

，被感染的EXE文件一旦运行，会删除整个硬盘上所有的文件。在其它

时候，被感染的EXE文件运行后，会每隔3秒种感染另一个正常的EXE

文件。用户一旦被感染这种恶意病毒，平时不会觉察，病毒伺机感

染硬盘上的所有可执行文件。一旦到了圣诞节，只要被感染的EXE文件

运行起来，病毒代码会疯狂的删除硬盘文件，普通方法很难阻止。

1. 病毒代码将自身添加到正常EXE文件的尾部，并通过修改程序执行入口，获

得控制权；

2. 病毒会在当前路径下释放一个名为0le32.dll（Win32.Troj.DelFiles.r）

的动态链结文件，并加载这个DLL，然后执行原程序。0le32.dll的初始化

代码会创建恶意线程，执行破坏行为。

3. 恶意线程首先获取当前日期，如果是12月24、25号，会弹出一个名为

“Merry Christmas!!! Today, i don't work!!!”对话框，点击“确定”

后，该线程将遍历硬盘上所有的文件，并进行删除；如果是其它日期，

该线程会遍历硬盘上的EXE文件，并进行感染，感染成功后，会暂停3秒种，

然后继续感染。只要EXE程序不结束，恶意线程就会不断感染正常的EXE文

件，直到将所有的EXE文件感染为止。