Ez egy politikai tartalmú vírus, melyet először 2001. december 19-én észleltek. (Névváltozatok: Keyluc, Zacker, CHRISTMAS.EXE, Reeezak).

A Maldal féreg olyan email üzenetekben terjed, melynek melléklete CHRISTMAS.EXE.
Első ránézésre egy megszokott multimédiás Karácsonyi üdvözlőlapnak látszik.
A Maldal Visual Basic 5. nyelven készült Windows PE EXE file, a hossza körülbelül 36.5 kB. Összegyűjti az email címeket az Outlook címjegyzékéből és a MSN Messenger kapcsolatok listájából. Ezekre olyan egyforma leveleket küld, melyeknek levélszövege és melléklete is ugyanaz.
Íme a Maldal által küldött levél:

Feladó / Name: a fertőzött felhasználó neve
Címzett / To: egy véletlenszerűen kiválasztott tétel a címjegyzékből
Tárgy / Subject: Happy New Year

Hii , I can't describe my feelings But all I can say
is Happy new year :-) bye

Csatolt állomány / Attachment: christmas.exe

Ha a mellékletet megnyitják, akkor először egy Karácsonyi üdvözlő ablak tűnik elő, ezzel palástolva a rosszindulatú ténykedést.
A féreg bemásolja magát a Windows könyvtárba 'Christmas.exe' néven. Ez a másolata a féregnek a Registry bejegyzések közé is bekerül, így ez a kód minden Windows induláskor le fog futni:

'[HKLM]\Software\Microsoft\Window\CurrentVersion\Run\Zacker'

Büntető rutin:
-------------
A féreg kikapcsolja a billentyűzetet és megkísérel minden állományt törölni a Windows System könyvtárban.
A számítógép nevét 'ZaCker'-re állítja és az Internet Explorer kezdőlapját átállítja egy fertőzött weblap címére.

Sharoon = a war crimenal
Bush supports him
So...
Bush = a war crimenal
American people must protect their country
otherwise, their
government will lead them to the hell !

Best Regards
America Lovers
ZA-UNION

Ha a fertőzött lapot megjelenítik Internet Explorerben, a lapban szereplő JavaScript kód lefut, kihasználva egy ismert Microsoft biztonsági hibát (VM ActiveX control vulnerability, MS00-075). Ez a JS kód létrehoz egy "rol.vbs" állományt a Windows meghajtó gyökérkönyvtárában és lefuttatja azt. Ennél a pontnál a féreg megkísérli kitörölni az adott meghajtón az alábbi könyvtárakat:

Program Files\Zone Labs
Program Files\AntiViral Toolkit Pro
Program Files\Command Software\F-PROT95
eSafe\Protect
PC-Cillin 95
PC-Cillin 97
Program Files\Quick Heal
Program Files\FWIN32
Program Files\FindVirus
Toolkit\FindVirus
f-macro
Program Files\McAfeeVirusScan95
Program Files\Norton AntiVirus
TBAVW95
VS95
rescue

A féreg elhelyezi a "DaLaL.htm" állományt a Windows System könyvtárba, ez tartalmazza a linket a féreg második részéhez. Ez az állomány a féreg "server.vbs" másolatával együtt bemásolódik minden egyes megosztott hálózati meghajtó gyökér könyvtárába.
Ezután a féreg végigmegy minden helyi és hálózati meghajtón és hozzáfűzi a "DaLaL.htm" tartalmát minden egyes ".htm", ".html" és ".asp" kiterjesztésű állományhoz.
A féreg ezenkívül törli az alábbi kiterjesztésű állományokat: ".lnk", ".zip", ".jpg", ".jpeg", ".mpg", ".mpeg", ".doc", ".xls", ".mdb",
".txt", ".ppt", ".pps", ".ram", ".rm", ".mp3" and ".swf".
Ezek törlése után a vírust lemásolva magát a törölt állományok nevén, de az eredeti névhez egy ".vbs" kiterjesztést fűz hozzá.
A Maldal megkeresi, hogy van-e telepítve a mIRC chat és ha megtalálja, annak beállításait ( a "mirc.ini" file) is felülírja.
Ezek után a fertőzött felhasználó egy üzenetet fog megjeleníteni annak a felhasználónak a gépén, aki belép ugyanarra az IRC csatornára. Ez az üzenet egy olyan linket jelenít meg, amelyik a fertőzött weboldalra mutat.
Végül, ha a kezdeti fertőzés és script végrehajtása között már eltelik 30 perc, és a másodpercek száma egyenlő öttel, megkísérli a létező összes állományt törölni, megjelenít egy üzenet ablakot, majd lezárja a Windows-t.
A második része a féregnek hasonlóképpen viselkedik, kivéve azt, hogy még egy állományt elhelyez a Windows System alkönyvtárban, "outlook.vbs" néven és lefuttatja azt.
Ez a script fogja aztán a címjegyzékben szereplő címekre a fertőzött üzeneteket elküldeni. Ezekben az üzenetekben szerepel a link, amelyik a fertőzött weboldalra mutat és tartalmazza még az alábbi szöveget is:

Subject Very important !!!
Body: See this page
http://geocities.com/Xxxxxxx/xxx.htm

Az F-Secure, a Kaspersky Anti-Virus és már ismert antivírus programok a legfrissebb adatállományokkal már felismerik.