Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Win32.Kriz

Jest to rezydentny, polimorficzny wirus Windows. Replikuje się poprzez system Windows32 i zaraża wyłącznie 32-bitowe pliki wykonywalne Windows (Win32 PE), z rozszerzeniem EXE i SCR (aplikacje i wygaszacze ekranu). Wirus pozostaje rezydentny w pamięci podczas trwania całej sesji Windows. Gdy biblioteka KERNEL32.DLL jest zainfekowana wirus przejmuje dostęp do funkcji plikowych takich jak copy, open, move itd., co w praktyce oznacza, że może on infekować pliki.

Wirus sprawdza nazwy plików i unika próby infekowania programów antywirusowych, takich jak:

_AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE, N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE, NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE, SMSS.EXE

Wirus posiada bardzo szkodliwy mechanizm ujawniania swojej obecności. Ma to miejsce 25 grudnia. W tym dniu, gdy zainfekowany jest chociaż jeden plik, wirus niszczy zawartość pamięci CMOS, nadpisuje dane wszystkich plików na wszystkich dyskach, do których ma dostęp, a następnie używając tej samej metody co wirus Win95.CIH (Chernobyl), niszczy Flash BIOS.

Gdy uruchomiony zostaje zarażony plik polimorficzna pętla rozkodowująca wirusa przejmuje kontrolę i przekształca kod wirusa do odszyfrowanej formy. Następnie wirus skanuje jądro systemu Windows32 i wyszukuje niezbędne do wywołania mechanizmu zarażania KERNEL32, adresy funkcji Windows.

Podczas zarażania modułu KERNEL32.DLL wirus włącza swoją tablicę eksportową (tablica funkcji eksportowych DLL) i modyfikuje poszczególne adresy funkcji, aby po kolejnym uruchomieniu systemu Windows, używane były przejęte przez wirusa funkcje wywołania KERNEL32. Pozwala to wirusowi na swobodny dostęp do plików i na ich monitorowanie.

Wirus przejmuje 16 funkcji KERNEL32, służących do otwierania, kopiowania, kasowania, czytania i zapisywania atrybutów pliku oraz tworzenia nowych procesów. Przejęte funkcje to:

CopyFileA 
CopyFileW 
CreateFileA 
CreateFileW 
DeleteFileA 
DeleteFileW 
MoveFileA 
MoveFileW 
MoveFileExA 
MoveFileExW 
GetFileAttributesA 
SetFileAttributesW 
SetFileAttributesA 
SetFileAttributesExA 
CreateProcessA 
CreateProcessW 

Aby zainfekować plik KERNEL32.DLL, który może być otwarty w trybie tylko do odczytu, gdyż jest on używany przez system, wirus używa standardowego triku. Kopiuje ten plik. Nadaje mu chwilową nazwę KRIZED.TT6. Kopia ta umieszczona jest w katalogu systemowym Windows. Infekuje kopię. Następnie zapisuje w pliku WININIT.INI instrukcję zmieniającą nazwę na oryginalną. Przy następnym uruchomieniu systemu plik KERNEL32.DLL jest już zarażony.

Wirus zawiera niewykorzystywany w żaden sposób tekst:

=( [c] 1999 [t] )=
YOU CALL IT RELIGION, YOU'RE FULL OF SHIT
YOU NEVER KNEW, YOU NEVER DID, YOU NEVER WILL
YOU'RE SO FULL OF SHIT, I DON'T WANT TO HEAR IT
ALL YOU DO IS TALK ABOUT YOURSELF
I DON'T WANNA HEAR IT, COZ I KNOW NONE OF IT'S TRUE
I'M SICK AND TIRED OF ALL YOUR GODDAMN LIES
LIES IN THE NAME OF GOD
WHEN ARE YOU GOING TO REALIZE THAT I DON'T WANT TO HEAR IT?!
I KNOW YOU'RE SO FULL OF SHIT, SO SHUT YOUR FUCKING MOUTH
YOU KEEP ON TALKING, TALKING EVERYDAY
FIRST YOU'RE TELLING STORIES, THEN YOU'RE TELLING LIES
WHEN THE FUCK ARE YOU GOING TO REALIZE THAT I DON'T WANT TO HEAR IT!!
AH, SHUT THE FUCK UP... 

Kriz.3863

Jest to modyfikacja różniąca się jedynie dodatkowymi sztuczkami programistycznymi oraz innym tekstem w kodzie:

(c) T2 & Immortal Riot

Ponadto wirus usuwa także pliki zapisane na dostępnych dyskach sieciowych.

Kriz.4029

Niektóre procedury wirusa zostały usprawnione. W jego kodzie zapisany jest tekst:

T-2000 / Immortal Riot