ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO. Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Detect date
01/11/2002
Classe
Virus
Plataforma
MSWord

Classe principal: VirWare

Vírus e worms são programas maliciosos que se auto-replicam em computadores ou através de redes de computadores sem que o usuário esteja ciente; cada cópia subsequente de tais programas maliciosos também é capaz de se auto-replicar. Programas maliciosos que se espalham através de redes ou infectam máquinas remotas quando são ordenados pelo “proprietário” (por exemplo, Backdoors) ou programas que criam múltiplas cópias que não podem se auto-replicar não fazem parte da subclasse Vírus e Worms. A principal característica usada para determinar se um programa é ou não classificado como um comportamento separado dentro da subclasse Vírus e Worms é como o programa se propaga (ou seja, como o programa malicioso espalha cópias de si mesmo via recursos locais ou de rede). como arquivos enviados como anexos de email, através de um link para um recurso web ou FTP, através de um link enviado em uma mensagem ICQ ou IRC, via redes de compartilhamento de arquivos P2P, etc. Alguns worms são distribuídos como pacotes de rede; estes penetram diretamente na memória do computador, e o código do worm é então ativado. Os worms usam as seguintes técnicas para penetrar em computadores remotos e iniciar cópias de si mesmos: engenharia social (por exemplo, uma mensagem de email sugerindo que o usuário abre um arquivo anexado), explorando erros de configuração de rede (como copiar para um disco totalmente acessível) e explorando lacunas na segurança do sistema operacional e do aplicativo. Os vírus podem ser divididos de acordo com o método usado para infectar um computador: vírus de arquivo vírus do setor de inicialização vírus de macro vírus de script Qualquer programa dentro dessa subclasse pode ter funções adicionais de cavalo de Tróia. Também deve ser notado que muitos worms usam mais de um método para distribuir cópias via redes. As regras para classificar objetos detectados com múltiplas funções devem ser usadas para classificar esses tipos de worms.

Classe: Virus

Os vírus replicam nos recursos da máquina local. Ao contrário dos worms, os vírus não usam serviços de rede para propagar ou penetrar em outros computadores. Uma cópia de um vírus só chegará aos computadores remotos se o objeto infectado, por algum motivo não relacionado à função de vírus, estiver ativado em outro computador. Por exemplo: ao infectar discos acessíveis, um vírus penetra em um arquivo localizado em um recurso de rede, um vírus se copia para um dispositivo de armazenamento removível ou infecta um arquivo em um dispositivo removível que um usuário envia um email com um anexo infectado.

Plataforma: MSWord

O Microsoft Word (MS Word) é um popular processador de texto e parte do Microsoft Office. Os arquivos do Microsoft Word têm uma extensão .doc ou .docx.

Descrição

Detalhes técnicos

Este vírus de macro é replicado no Word 8 e no Word 9 (Office97 e Office2000), infecta documentos e modelos do Word e envia suas cópias por meio de mensagens de email usando o MS Outlook. O vírus é um infectador extremamente rápido: sua rotina de propagação de e-mails pode enviar muitos documentos infectados para diferentes endereços de e-mail quando o vírus se instala no sistema. O vírus também tem uma rotina de gatilho, altera o registro do sistema e desativa a proteção de macro-vírus do Word.

Para enviar suas cópias via mensagens de e-mail, o vírus usa as habilidades do Visual Basic para ativar outros aplicativos da Microsoft e usar suas rotinas: o vírus obtém acesso ao MS Outlook e invoca suas funções. O vírus obtém os endereços do banco de dados do Outlook e envia uma nova mensagem. Esta massagem tem:

O assunto: "Mensagem importante de [UserName]" (UserName é variável)

Corpo da mensagem: "Aqui está o documento que você pediu ... não mostre mais ninguém ;-)"
A mensagem também tem um documento anexado (escusado será dizer que está infectado) - o vírus anexa ao documento que está sendo editado agora (documento ativo). Como efeito colateral dessa forma de divulgação, os documentos do usuário (incluindo os confidenciais) podem ser enviados pela Internet.

O vírus pode enviar muitas mensagens: verifica o Catálogo de Endereços do Outlook (banco de dados de endereços), abre cada lista e envia até 50 mensagens para endereços de cada uma delas. Se uma lista tiver menos de 50 entradas (endereços de e-mail), todas elas serão afetadas. O vírus envia uma mensagem por cada lista, o campo TO: na mensagem contém todos os endereços dessa lista (até 50) e pode ser desconsiderado pelos filtros anti-spam.

O vírus envia emails infectados apenas um por vez. Antes de enviar, o vírus verifica o registro do sistema por seu selo de ID:

HKEY_CURRENT_USERSoftwareMicrosoftOffice "Melissa?" = "... por Kwyjibo"

Se essa entrada não existir, o vírus enviará um email de um computador infectado e, em seguida, criará essa entrada no registro. Caso contrário, o vírus ignorará a rotina de e-mail. Como resultado, o vírus envia mensagens de email infectadas somente uma vez: durante as tentativas subsequentes, localiza a entrada "Melissa? =" E a ignora.

O vírus é capaz de se espalhar para documentos do Office2000 (Word ver.9). Essa possibilidade é baseada em um recurso de "conversão" do Office. Quando uma nova versão do Office é aberta e carrega documentos e modelos criados por versões anteriores do Word, ela converte dados em documentos em novos formatos. O macroprograma em arquivos também é convertido, incluindo macros de vírus. Como resultado, o vírus é capaz de se replicar no Office2000.

No caso em que o vírus é executado no Office2000, ele executa uma ação adicional: desativa (define um nível mínimo) as configurações de segurança do Office2000 (proteção antivírus).

O código do vírus contém um módulo chamado "Melissa" com uma função automática: "Document_Open" em documentos infectados ou "Document_Closed" em NORMAL.DOT (área de macros globais). O vírus infecta a área de macros globais em uma abertura de documento infectada e se espalha para outros documentos após o fechamento. Para infectar documentos e modelos, o vírus copia seu código linha-por-linha de um objeto infectado para um objeto "vítima". No caso em que o NORMAL.DOT está sendo infectado, o vírus nomeia seu programa no módulo como "Document_Close", quando o vírus copia seu código de NORMAL.DOT para um documento, o vírus o nomeia "Document_Open". Como resultado, o vírus se instala no aplicativo do Word ao mesmo tempo em que o documento infectado é aberto e infecta outros documentos somente quando são fechados.

O vírus também tem uma rotina de disparo que é ativada se a data atual for igual à hora atual em minutos. Cada vez que as macros do vírus ganham controle, essa rotina insere o texto no documento atual:

Vinte e dois pontos, mais tripla pontuação de palavras, mais cinquenta pontos para usar
todas as minhas cartas. Fim de jogo. Estou fora daqui.

Este texto, assim como o pseudônimo do autor do vírus, "Kwyjibo", são referências à popular série de desenhos animados "Simpsons".

O vírus tem os comentários:

WORD / Melissa escrito por Kwyjibo
Funciona no Word 2000 e no Word 97
Minhoca? Vírus de Macro? Vírus do Word 97? Vírus do Word 2000? Você decide!
Palavra -> Email | Word 97 <-> Word 2000 ... é uma nova era!

Melissa.b

Esta versão de vírus se transforma em um worm, não um vírus: em seu código, a área de macros globais e outros documentos de rotina de infecção são "comentados" (este código está presente no código do worm, mas todos os comandos estão desabilitados por texto "VisualBasic caractere". Também é mencionado nos comentários do autor no código do worm: "Nós não queremos realmente infectar o PC, apenas avisá-los"

Um documento infectado é anexado a uma mensagem com:

Assunto: "Não confie em ninguém"
Corpo: "Cuidado com o que você abre. Pode ser um vírus."

Quando um documento anexado é aberto, a rotina de dispersão de worms assume o controle. Ele verifica no registro do sistema a marca "Melissa.a" e, se isso não estiver presente, o worm obtém um (primeiro) endereço de cada lista de endereços do Outlook e envia novas mensagens com sua própria cópia para esses endereços. O worm insere o seguinte texto no documento atual:

Isso poderia ter resultados desastrosos. Tenha mais cuidado da próxima vez que abrir
um email. Proteja-se! Descubra como nesses sites:
http://www.eos.ncsu.edu/eos/info/computer_ethics/www/abuse/wvt/worm/
http://www.nipc.gov/nipc/w97melissa.htm
http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
http://www.microsoft.com/security/bulletins/ms99-002.asp
http://www.infoworld.com/cgi-bin/displayStory.pl?990326.wcvirus.htm

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com

Encontrou uma imprecisão na descrição desta vulnerabilidade? Avise-nos!
Kaspersky Next:
cibersegurança redefinida
Saber mais
Novo Kaspersky!
Sua vida dgital merece proteção completa!
Saber mais
Confirm changes?
Your message has been sent successfully.