ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.MSWord.Melissa

Data de detecção 01/11/2002
Classe Virus
Plataforma MSWord
Descrição

Detalhes técnicos

Este vírus de macro é replicado no Word 8 e no Word 9 (Office97 e Office2000), infecta documentos e modelos do Word e envia suas cópias por meio de mensagens de email usando o MS Outlook. O vírus é um infectador extremamente rápido: sua rotina de propagação de e-mails pode enviar muitos documentos infectados para diferentes endereços de e-mail quando o vírus se instala no sistema. O vírus também tem uma rotina de gatilho, altera o registro do sistema e desativa a proteção de macro-vírus do Word.

Para enviar suas cópias via mensagens de e-mail, o vírus usa as habilidades do Visual Basic para ativar outros aplicativos da Microsoft e usar suas rotinas: o vírus obtém acesso ao MS Outlook e invoca suas funções. O vírus obtém os endereços do banco de dados do Outlook e envia uma nova mensagem. Esta massagem tem:

O assunto: "Mensagem importante de [UserName]" (UserName é variável)

Corpo da mensagem: "Aqui está o documento que você pediu … não mostre mais ninguém ;-)"

A mensagem também tem um documento anexado (escusado será dizer que está infectado) – o vírus anexa ao documento que está sendo editado agora (documento ativo). Como efeito colateral dessa forma de divulgação, os documentos do usuário (incluindo os confidenciais) podem ser enviados pela Internet.

O vírus pode enviar muitas mensagens: verifica o Catálogo de Endereços do Outlook (banco de dados de endereços), abre cada lista e envia até 50 mensagens para endereços de cada uma delas. Se uma lista tiver menos de 50 entradas (endereços de e-mail), todas elas serão afetadas. O vírus envia uma mensagem por cada lista, o campo TO: na mensagem contém todos os endereços dessa lista (até 50) e pode ser desconsiderado pelos filtros anti-spam.

O vírus envia emails infectados apenas um por vez. Antes de enviar, o vírus verifica o registro do sistema por seu selo de ID:

HKEY_CURRENT_USERSoftwareMicrosoftOffice "Melissa?" = "… por Kwyjibo"

Se essa entrada não existir, o vírus enviará um email de um computador infectado e, em seguida, criará essa entrada no registro. Caso contrário, o vírus ignorará a rotina de e-mail. Como resultado, o vírus envia mensagens de email infectadas somente uma vez: durante as tentativas subsequentes, localiza a entrada "Melissa? =" E a ignora.

O vírus é capaz de se espalhar para documentos do Office2000 (Word ver.9). Essa possibilidade é baseada em um recurso de "conversão" do Office. Quando uma nova versão do Office é aberta e carrega documentos e modelos criados por versões anteriores do Word, ela converte dados em documentos em novos formatos. O macroprograma em arquivos também é convertido, incluindo macros de vírus. Como resultado, o vírus é capaz de se replicar no Office2000.

No caso em que o vírus é executado no Office2000, ele executa uma ação adicional: desativa (define um nível mínimo) as configurações de segurança do Office2000 (proteção antivírus).

O código do vírus contém um módulo chamado "Melissa" com uma função automática: "Document_Open" em documentos infectados ou "Document_Closed" em NORMAL.DOT (área de macros globais). O vírus infecta a área de macros globais em uma abertura de documento infectada e se espalha para outros documentos após o fechamento. Para infectar documentos e modelos, o vírus copia seu código linha-por-linha de um objeto infectado para um objeto "vítima". No caso em que o NORMAL.DOT está sendo infectado, o vírus nomeia seu programa no módulo como "Document_Close", quando o vírus copia seu código de NORMAL.DOT para um documento, o vírus o nomeia "Document_Open". Como resultado, o vírus se instala no aplicativo do Word ao mesmo tempo em que o documento infectado é aberto e infecta outros documentos somente quando são fechados.

O vírus também tem uma rotina de disparo que é ativada se a data atual for igual à hora atual em minutos. Cada vez que as macros do vírus ganham controle, essa rotina insere o texto no documento atual:

Vinte e dois pontos, mais tripla pontuação de palavras, mais cinquenta pontos para usar
todas as minhas cartas. Fim de jogo. Estou fora daqui.

Este texto, assim como o pseudônimo do autor do vírus, "Kwyjibo", são referências à popular série de desenhos animados "Simpsons".

O vírus tem os comentários:

WORD / Melissa escrito por Kwyjibo
Funciona no Word 2000 e no Word 97
Minhoca? Vírus de Macro? Vírus do Word 97? Vírus do Word 2000? Você decide!
Palavra -> Email | Word 97 <-> Word 2000 … é uma nova era!

Melissa.b

Esta versão de vírus se transforma em um worm, não um vírus: em seu código, a área de macros globais e outros documentos de rotina de infecção são "comentados" (este código está presente no código do worm, mas todos os comandos estão desabilitados por texto "VisualBasic caractere". Também é mencionado nos comentários do autor no código do worm: "Nós não queremos realmente infectar o PC, apenas avisá-los"

Um documento infectado é anexado a uma mensagem com:

Assunto: "Não confie em ninguém"
Corpo: "Cuidado com o que você abre. Pode ser um vírus."

Quando um documento anexado é aberto, a rotina de dispersão de worms assume o controle. Ele verifica no registro do sistema a marca "Melissa.a" e, se isso não estiver presente, o worm obtém um (primeiro) endereço de cada lista de endereços do Outlook e envia novas mensagens com sua própria cópia para esses endereços. O worm insere o seguinte texto no documento atual:

Isso poderia ter resultados desastrosos. Tenha mais cuidado da próxima vez que abrir
um email. Proteja-se! Descubra como nesses sites:
http://www.eos.ncsu.edu/eos/info/computer_ethics/www/abuse/wvt/worm/
http://www.nipc.gov/nipc/w97melissa.htm
http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
http://www.microsoft.com/security/bulletins/ms99-002.asp
http://www.infoworld.com/cgi-bin/displayStory.pl?990326.wcvirus.htm


Link para o original