Worm/DOS.Christmas[Email]通常被称为圣诞树。早在1987年就已经出现。它属于典型的蠕虫，不借助宿主即可独立完成自主传播的恶意代码。其自我复制的方式包括基于存储介质和网络方式。该蠕虫关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该Worm的主要行为是Email，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前Worm/DOS.Christmas[Email]存在文本至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少2个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该蠕虫形成相同命名。
病毒行为
图形显示：
当用户执行病毒脚本时，屏幕上会显示一棵用字符绘制的“圣诞树”，作为一种视觉诱饵，引起用户的兴趣。
自我复制：
病毒会自动读取用户的通讯录，并将自身发送给通讯录中的所有联系人。由于当时的大型机系统往往连接了众多用户，这种传播方式非常高效，导致病毒迅速扩散到整个网络。
系统负载：
由于大量用户执行了这个病毒脚本，并且病毒不断向其他用户传播，导致整个系统的网络流量和计算资源被极大地消耗，最终可能导致系统性能下降或瘫痪。
破坏性：
病毒本身并没有直接破坏文件或数据的功能，但其大量传播会对网络和系统性能造成严重影响。
样本格式分布
格式类别 占比 格式描述
Text 100.0% 纯文字内容的文件
其他厂商命名
厂商 命名
Microsoft Virus:DOS/Christmas.remnants
Kaspersky Virus.DOS.Christmas.1539.a
典型变种
无
典型样本
类型 值
MD5 321a4a3792c1753184987010789163f1
解决方案
1.安装终端安全防护软件；
2.及时更新操作系统和应用程序的补丁；
3.不随意点击或者复制邮件中的网址，不要轻易下载来源不明的附件；