Kaspersky Threats — Melissa-based

Kategorie

Plattform

Beschreibung

Technische Details

Dieser Makrovirus ist ein weiterer "Melissa" -Klon. Es infiziert MS Word-Dokumente und Vorlagen und sendet seine Kopien in E-Mail-Nachrichten mit einer MS Outlook-Anwendung. Der Virus ist ein extrem schneller Infektor: Seine E-Mail-Verbreitungsroutine kann viele infizierte Dokumente an verschiedene E-Mail-Adressen senden, wenn sich der Virus selbst im System installiert. Der Virus verfügt außerdem über eine Triggerroutine, ändert die Systemregistrierung und deaktiviert den Word-Makrovirusschutz.

Um seine Kopien in E-Mail-Nachrichten zu senden, verwendet der Virus VisualBasic-Fähigkeiten, um andere Microsoft-Anwendungen zu aktivieren und ihre Routinen zu verwenden: Der Virus erhält Zugriff auf MS Outlook und ruft seine Funktionen auf. Der Virus ruft die Adressen aus der Outlook-Datenbank ab und sendet ihnen eine neue Nachricht. Diese Massage hat:

Das Thema: "Spaß und Spiele von [UserName]" (UserName ist Variable)

Nachrichtentext: "Hallo! Sieh dir diese nette Dokumentation an, die ich im Internet gefunden habe!"

Die Nachricht hat auch ein angehängtes Dokument (es ist unnötig zu sagen, dass es infiziert ist) – der Virus hängt das Dokument an, das gerade bearbeitet wird (aktives Dokument). Als Nebeneffekt dieser Art der Verbreitung können die Dokumente des Benutzers (einschließlich vertraulicher Dokumente) an das Internet gesendet werden.

Der Virus kann viele Nachrichten senden: Er scannt das Outlook AddressBook (Adressdatenbank), öffnet jede darin enthaltene Liste und sendet bis zu 69 Nachrichten an Adressen von jedem. Wenn eine Liste weniger als 69 Einträge (E-Mail-Adressen) enthält, sind alle infiziert. Der Virus sendet eine Nachricht pro Liste und das Feld TO: in der Nachricht enthält alle Adressen aus dieser Liste (bis zu 69) und kann von Anti-Spam-Filtern zurückgewiesen werden. Darüber hinaus sendet es eine weitere Nachricht an Adresse "Project1@nym.alias.net" Diese Massage hat:

Der Betreff: "Vermute, wer infiziert ist: [UserName]" (UserName ist Variable)

Nachrichtentext: "infiziert!"

Diese Nachricht enthält außerdem ein angehängtes Dokument, das gerade bearbeitet wird.

Der Virus sendet infizierte E-Mails nur einmal. Vor dem Senden überprüft der Virus die Systemregistrierung auf seinen ID-Stempel:



HKEY_CURRENT_USERSoftwareMicrosoftOfficeP1 = "Syndicate"

Wenn dieser Eintrag nicht vorhanden ist, sendet der Virus E-Mails von einem infizierten Computer und erstellt diesen Eintrag dann in der Registrierung. Andernfalls springt der Virus über die E-Mail-Routine. Daher sendet der Virus infizierte E-Mail-Nachrichten nur einmal: Beim nächsten Versuch sucht er den Eintrag "P1 =" und überspringt ihn.

Der Virus kann sich auf Office2000-Dokumente (Word, Version 9) ausbreiten. Diese Möglichkeit basiert auf einer Office-Konvertierungsfunktion. Wenn eine Office-Version neu geöffnet wird und Dokumente und Vorlagen aus früheren Word-Versionen lädt, konvertiert sie Daten in Dokumenten in neue Formate. Das Makroprogramm in Dateien wird ebenfalls konvertiert, einschließlich der Virusmakros. Dadurch kann sich der Virus unter Office2000 selbst replizieren.

Der Viruscode enthält ein Modul mit einer automatischen Funktion in "Document_Close". Der Virus infiziert den globalen Makrobereich nach dem Schließen des infizierten Dokuments und verteilt sich beim Schließen auf andere Dokumente. Um Dokumente und Vorlagen zu infizieren, kopiert der Virus seinen Code von einem infizierten Objekt zu einem Opferobjekt.

Der Virus hat die Kommentare:



W97M / Project1 von Patient Zero – (The Syndicate) – circa 1999

Das Syndikat: U-Bahn zur U-Bahn.

Grüße an Kwyjibo und die CodeBreakers: Hey, kennen wir uns nicht? 😉

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Virus
Plattform	MSWord
Beschreibung	Technische Details Dieser Makrovirus ist ein weiterer "Melissa" -Klon. Es infiziert MS Word-Dokumente und Vorlagen und sendet seine Kopien in E-Mail-Nachrichten mit einer MS Outlook-Anwendung. Der Virus ist ein extrem schneller Infektor: Seine E-Mail-Verbreitungsroutine kann viele infizierte Dokumente an verschiedene E-Mail-Adressen senden, wenn sich der Virus selbst im System installiert. Der Virus verfügt außerdem über eine Triggerroutine, ändert die Systemregistrierung und deaktiviert den Word-Makrovirusschutz. Um seine Kopien in E-Mail-Nachrichten zu senden, verwendet der Virus VisualBasic-Fähigkeiten, um andere Microsoft-Anwendungen zu aktivieren und ihre Routinen zu verwenden: Der Virus erhält Zugriff auf MS Outlook und ruft seine Funktionen auf. Der Virus ruft die Adressen aus der Outlook-Datenbank ab und sendet ihnen eine neue Nachricht. Diese Massage hat: Das Thema: "Spaß und Spiele von [UserName]" (UserName ist Variable) Nachrichtentext: "Hallo! Sieh dir diese nette Dokumentation an, die ich im Internet gefunden habe!" Die Nachricht hat auch ein angehängtes Dokument (es ist unnötig zu sagen, dass es infiziert ist) – der Virus hängt das Dokument an, das gerade bearbeitet wird (aktives Dokument). Als Nebeneffekt dieser Art der Verbreitung können die Dokumente des Benutzers (einschließlich vertraulicher Dokumente) an das Internet gesendet werden. Der Virus kann viele Nachrichten senden: Er scannt das Outlook AddressBook (Adressdatenbank), öffnet jede darin enthaltene Liste und sendet bis zu 69 Nachrichten an Adressen von jedem. Wenn eine Liste weniger als 69 Einträge (E-Mail-Adressen) enthält, sind alle infiziert. Der Virus sendet eine Nachricht pro Liste und das Feld TO: in der Nachricht enthält alle Adressen aus dieser Liste (bis zu 69) und kann von Anti-Spam-Filtern zurückgewiesen werden. Darüber hinaus sendet es eine weitere Nachricht an Adresse "Project1@nym.alias.net" Diese Massage hat: Der Betreff: "Vermute, wer infiziert ist: [UserName]" (UserName ist Variable) Nachrichtentext: "infiziert!" Diese Nachricht enthält außerdem ein angehängtes Dokument, das gerade bearbeitet wird. Der Virus sendet infizierte E-Mails nur einmal. Vor dem Senden überprüft der Virus die Systemregistrierung auf seinen ID-Stempel: HKEY_CURRENT_USERSoftwareMicrosoftOfficeP1 = "Syndicate" Wenn dieser Eintrag nicht vorhanden ist, sendet der Virus E-Mails von einem infizierten Computer und erstellt diesen Eintrag dann in der Registrierung. Andernfalls springt der Virus über die E-Mail-Routine. Daher sendet der Virus infizierte E-Mail-Nachrichten nur einmal: Beim nächsten Versuch sucht er den Eintrag "P1 =" und überspringt ihn. Der Virus kann sich auf Office2000-Dokumente (Word, Version 9) ausbreiten. Diese Möglichkeit basiert auf einer Office-Konvertierungsfunktion. Wenn eine Office-Version neu geöffnet wird und Dokumente und Vorlagen aus früheren Word-Versionen lädt, konvertiert sie Daten in Dokumenten in neue Formate. Das Makroprogramm in Dateien wird ebenfalls konvertiert, einschließlich der Virusmakros. Dadurch kann sich der Virus unter Office2000 selbst replizieren. Der Viruscode enthält ein Modul mit einer automatischen Funktion in "Document_Close". Der Virus infiziert den globalen Makrobereich nach dem Schließen des infizierten Dokuments und verteilt sich beim Schließen auf andere Dokumente. Um Dokumente und Vorlagen zu infizieren, kopiert der Virus seinen Code von einem infizierten Objekt zu einem Opferobjekt. Der Virus hat die Kommentare: W97M / Project1 von Patient Zero – (The Syndicate) – circa 1999 Das Syndikat: U-Bahn zur U-Bahn. Grüße an Kwyjibo und die CodeBreakers: Hey, kennen wir uns nicht? 😉
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Virus.MSWord.Melissa-based

Technische Details