Kaspersky Threats — Melissa-based

Třída

Platfoma

Popis

Technické údaje

Tento makrový virus je dalším klonem "Melissa" . Infikuje dokument a šablony MS Word a odesílá své kopie do e-mailových zpráv pomocí aplikace MS Outlook. Virus je extrémně rychlý infektor: jeho rutina šíření e-mailů může posílat mnoho infikovaných dokumentů na různé e-mailové adresy, když se virus vloží do systému. Virus má také spouštěcí rutinu, mění systémový registr a zakáže ochranu maker před viry.

Chcete-li odeslat své kopie v e-mailových zprávách, virus používá schopnosti VisualBasic k aktivaci jiných aplikací společnosti Microsoft a jejich rutiny: virus získá přístup k MS Outlooku a volá jeho funkce. Virus získává adresy z databáze Outlook a pošle jim novou zprávu. Tato masáž má:

Předmět: "Fun a hry od [UserName]" (UserName je proměnná)

Text zprávy: "Ahoj! Podívejte se na tento čistý dok, který jsem našel na internetu!"

Zpráva má také přiložený dokument (netřeba říkat, že je infikován) – virus připisuje dokument, který je nyní upraven (aktivní dokument). Jako vedlejší účinek tohoto způsobu šíření mohou být dokumenty uživatele (včetně důvěrných) zaslány na internet.

Virus může odesílat mnoho zpráv: skenuje Outlook AddressBook (databáze adres), otevře každý seznam v něm a odešle až 69 zpráv na adresy z každého. Pokud má seznam méně než 69 záznamů (e-mailové adresy), všechny jsou infikovány. Virus pošle jednu zprávu do každého seznamu a pole TO: ve zprávě obsahuje všechny adresy z tohoto seznamu (až 69) a může být odmítnuto pomocí antispamových filtrů. Navíc vysílá další zprávu na adresu "Project1@nym.alias.net" Tato masáž má:

Předmět: "Hádej, kdo je infikován: [UserName]" (UserName je proměnná)

Tělo zprávy: "infikováno!"

Tato zpráva má také připojený dokument, který se právě upravuje.

Virus odesílá infikované e-maily pouze jednou. Před odesláním virus kontroluje systémový registr pro ID razítko:

HKEY_CURRENT_USERSoftwareMicrosoftOfficeP1 = "Syndikovat"

Pokud tato položka neexistuje, virus odešle e-maily z infikovaného počítače a poté tuto položku vytvoří v registru. V opačném případě virus přeskočí po rutině e-mailu. V důsledku toho virus odešle infikované e-mailové zprávy pouze jednou: při dalším pokusu najde položku "P1 =" a přeskočí.

Virus se může šířit do dokumentů Office2000 (Word verze 9). Tato možnost je založena na funkci "konverze" Office. Při otevření nové verze sady Office a načtení dokumentů a šablon vytvořených předchozími verzemi aplikace Word převede data do dokumentů do nových formátů. Makroprogram v souborech je také převeden, včetně maker virů. V důsledku toho se virus může replikovat sám pod Office2000.

Kód viru obsahuje v modulu "Document_Close" jeden modul s jednou automatickou funkcí. Virus infikuje oblast globálních maker při zavření infikovaných dokumentů a po jejich zavření se rozšíří o další dokumenty. Chcete-li infikovat dokumenty a šablony, virus zkopíruje svůj kód z infikovaného objektu do oběti.

Virus má komentáře:

W97M / Project1 od pacienta nula – (The Syndicate) – circa 1999Syndikát: podzemní do podzemí.Pozdravuje Kwyjibo a CodeBreakers: Hej, nepoznáváme se? 😉

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Virus
Platfoma	MSWord
Popis	Technické údaje Tento makrový virus je dalším klonem "Melissa" . Infikuje dokument a šablony MS Word a odesílá své kopie do e-mailových zpráv pomocí aplikace MS Outlook. Virus je extrémně rychlý infektor: jeho rutina šíření e-mailů může posílat mnoho infikovaných dokumentů na různé e-mailové adresy, když se virus vloží do systému. Virus má také spouštěcí rutinu, mění systémový registr a zakáže ochranu maker před viry. Chcete-li odeslat své kopie v e-mailových zprávách, virus používá schopnosti VisualBasic k aktivaci jiných aplikací společnosti Microsoft a jejich rutiny: virus získá přístup k MS Outlooku a volá jeho funkce. Virus získává adresy z databáze Outlook a pošle jim novou zprávu. Tato masáž má: Předmět: "Fun a hry od [UserName]" (UserName je proměnná) Text zprávy: "Ahoj! Podívejte se na tento čistý dok, který jsem našel na internetu!" Zpráva má také přiložený dokument (netřeba říkat, že je infikován) – virus připisuje dokument, který je nyní upraven (aktivní dokument). Jako vedlejší účinek tohoto způsobu šíření mohou být dokumenty uživatele (včetně důvěrných) zaslány na internet. Virus může odesílat mnoho zpráv: skenuje Outlook AddressBook (databáze adres), otevře každý seznam v něm a odešle až 69 zpráv na adresy z každého. Pokud má seznam méně než 69 záznamů (e-mailové adresy), všechny jsou infikovány. Virus pošle jednu zprávu do každého seznamu a pole TO: ve zprávě obsahuje všechny adresy z tohoto seznamu (až 69) a může být odmítnuto pomocí antispamových filtrů. Navíc vysílá další zprávu na adresu "Project1@nym.alias.net" Tato masáž má: Předmět: "Hádej, kdo je infikován: [UserName]" (UserName je proměnná) Tělo zprávy: "infikováno!" Tato zpráva má také připojený dokument, který se právě upravuje. Virus odesílá infikované e-maily pouze jednou. Před odesláním virus kontroluje systémový registr pro ID razítko: HKEY_CURRENT_USERSoftwareMicrosoftOfficeP1 = "Syndikovat" Pokud tato položka neexistuje, virus odešle e-maily z infikovaného počítače a poté tuto položku vytvoří v registru. V opačném případě virus přeskočí po rutině e-mailu. V důsledku toho virus odešle infikované e-mailové zprávy pouze jednou: při dalším pokusu najde položku "P1 =" a přeskočí. Virus se může šířit do dokumentů Office2000 (Word verze 9). Tato možnost je založena na funkci "konverze" Office. Při otevření nové verze sady Office a načtení dokumentů a šablon vytvořených předchozími verzemi aplikace Word převede data do dokumentů do nových formátů. Makroprogram v souborech je také převeden, včetně maker virů. V důsledku toho se virus může replikovat sám pod Office2000. Kód viru obsahuje v modulu "Document_Close" jeden modul s jednou automatickou funkcí. Virus infikuje oblast globálních maker při zavření infikovaných dokumentů a po jejich zavření se rozšíří o další dokumenty. Chcete-li infikovat dokumenty a šablony, virus zkopíruje svůj kód z infikovaného objektu do oběti. Virus má komentáře: W97M / Project1 od pacienta nula – (The Syndicate) – circa 1999Syndikát: podzemní do podzemí.Pozdravuje Kwyjibo a CodeBreakers: Hej, nepoznáváme se? 😉
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Virus.MSWord.Melissa-based

Technické údaje