Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Virus.MSWord.Melissa

Detekováno 01/11/2002
Třída Virus
Platfoma MSWord
Popis

Technické údaje

Tento makrovírus se replikuje pod Word 8 a Word 9 (Office97 a Office2000), infikuje dokument a šablony aplikace Word a odesílá své kopie prostřednictvím e-mailových zpráv pomocí aplikace MS Outlook. Virus je extrémně rychlý infektor: jeho rutina šíření e-mailů může posílat mnoho infikovaných dokumentů na různé e-mailové adresy, když se virus vloží do systému. Virus má také spouštěcí rutinu, mění systémový registr a zakáže makro-virus ochranu aplikace Word.

K odeslání svých kopií prostřednictvím e-mailových zpráv virus využívá schopnosti VisualBasic k aktivaci jiných aplikací společnosti Microsoft a využívá jejich rutiny: virus získá přístup k MS Outlooku a vyvolává jeho funkce. Virus získává adresy z databáze Outlook a pošle jim novou zprávu. Tato masáž má:

Předmět: "Důležitá zpráva z [UserName]" (UserName je proměnná)

Tělo zprávy: "Zde je ten dokument, o který jste požádali … neukazujte někoho jiného ;-)"

Zpráva má také přiložený dokument (netřeba říkat, že je infikován) – virus se připojí k dokumentu, který je právě upravován (aktivní dokument). Jako vedlejší účinek tohoto způsobu šíření lze dokumenty uživatele (včetně důvěrných) odesílat na internetu.

Virus může odeslat velmi mnoho zpráv: skenuje Outlook AddressBook (databáze adres), otevírá každý seznam a odesílá až 50 zpráv na adresy z každé z nich. Pokud má seznam méně než 50 záznamů (e-mailové adresy), všechny jsou ovlivněny. Virus pošle jednu zprávu na každý seznam, pole TO: ve zprávě obsahuje všechny adresy z tohoto seznamu (až 50) a může být ignorováno antispamovými filtry.

Virus odesílá infikované e-maily pouze po jednom. Před odesláním virus kontroluje systémový registr pro jeho ID razítko:

HKEY_CURRENT_USERSoftwareMicrosoftOffice "Melissa?" = "… od Kwyjibo"

Pokud tato položka neexistuje, virus pošle e-mail z infikovaného počítače a poté tuto položku vytvoří v registru. V opačném případě virus přeskočí rutinu e-mailu. V důsledku toho virus zasílá infikované e-mailové zprávy pouze jednou: během následujících pokusů vyhledá položku "Melissa? =" A přeskočí ji.

Virus se může šířit do dokumentů Office2000 (Word verze 9). Tato možnost je založena na funkci "konverze" Office. Při otevření nové verze sady Office a načtení dokumentů a šablon vytvořených předchozími verzemi aplikace Word převede data do dokumentů do nových formátů. Makroprogram v souborech je také převeden, včetně maker virů. V důsledku toho se virus může replikovat sám pod Office2000.

V případě, že je virus spuštěn v Office2000, provádí další akce: zakáže (nastavení na minimální úroveň) nastavení zabezpečení Office2000 (antivirové ochrany).

Virusový kód obsahuje jeden modul s názvem "Melissa" s jednou automatickou funkcí: "Document_Open" v infikovaných dokumentech nebo "Document_Closed" v oblasti NORMAL.DOT (oblast globálních maker). Virus infikuje oblast globálních maker na otevírání infikovaných dokumentů a po jejich zavření se rozšíří o další dokumenty. Chcete-li infikovat dokumenty a šablony, virus zkopíruje kód řádku po řádku z infikovaného objektu na "oběti". V případě, že je NORMAL.DOT infikován, virus označuje svůj program v modulu jako "Document_Close", když virus zkopíruje svůj kód z NORMAL.DOT do dokumentu, virus jej označuje jako "Document_Open". V důsledku toho se virus vloží do aplikace Word současně s otevřeným infikovaným dokumentem a infikuje jiné dokumenty pouze v případě, že jsou zavřené.

Virus má také spouštěcí rutinu, která je aktivována, pokud aktuální datum odpovídá aktuálnímu času v minutách. Pokaždé, když makra virů získají kontrolu, tato rutina vloží text do aktuálního dokumentu:

Dvacet dva bodů plus triple-word-score plus padesát bodů pro použití
všechny mé dopisy. Konec hry. Jdu odsud.

Tento text, stejně jako pseudonym autora viru "Kwyjibo", jsou odkazy na oblíbenou televizní seriál "Simpsons".

Virus má komentáře:

Slovo / Melissa napsané Kwyjibo
Pracuje v programech Word 2000 i Word 97
Červ? Macro Virus? Virus aplikace Word 97? Word 2000 Virus? Rozhodnete se!
Slovo -> Email Word 97 <-> Word 2000 … je to nový věk!

Melissa.b

Tato verze virů se mění na červ, nikoliv na virus: ve svém kódu je globální oblast maker a další rutina infikovaných dokumentů "komentována" (tento kód je přítomen v kódu červa, ale všechny příkazy jsou zakázány "to je komentář text "znak VisualBasic). To je také uvedeno v komentářích autorů v kódu červa: "Nechceme skutečně infikovat PC, jen je varujeme"

Infikovaný dokument je připojen ke zprávě s:

Předmět: "Trust No One"
Tělo: "Buďte opatrní, co otevřete. Může to být virus."

Při otevření přiloženého dokumentu přebírá rutina šíření červů. V registru systému zkontroluje značku "Melissa.a" a pokud není k dispozici, červa získá jednu (první) adresu z každého seznamu adres aplikace Outlook a odešle nové zprávy se svou kopií na tyto adresy. Potom červa vloží následující text do aktuálního dokumentu:

Mohlo to mít katastrofické výsledky. Buďte opatrnější při příštím otevření
e-mail. Chraň sebe! Zjistěte, jak na těchto webových stránkách:
http://www.eos.ncsu.edu/eos/info/computer_ethics/www/abuse/wvt/worm/
http://www.nipc.gov/nipc/w97melissa.htm
http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
http://www.microsoft.com/security/bulletins/ms99-002.asp
http://www.infoworld.com/cgi-bin/displayStory.pl?990326.wcvirus.htm


Odkaz na originál