Virus.MSWord.Melissa-based

Класс Virus
Платформа MSWord
Описание

Technical Details

Клон вируса «Melissa».
Заражает файлы документов и шаблонов
MS Word и рассылает свои копии в сообщениях электронной почты при помощи MS
Outlook. Вирус распространяется чрезвычайно быстро: процедура рассылки
зараженных писем отсылает большое количество вирусных копий по адресам из
всех списков адресной книги MS Outlook. Вирус также изменяет системный
реестр, выключает антивирусную защиту MS Word.

Для рассылки своих копий через электронную почту вирус использует
возможность Visual Basic активизировать другие приложения MS Windows и
использовать их процедуры. Вирус вызывает MS Outlook, считывает из базы
адресов Outlook адреса электронной почты и посылает по этим адресам
сообщение. Это сообщение содержит:

Тема:
«Fun and games from [имя пользователя]» (Имя пользователя берется из
настоек MS Word)

Тело письма:
«Hi! Check out this neat doc I found on the Internet!»

К сообщению также присоединен документ (естественно зараженный), причем
вирус присоединяет тот документ, который в данный момент редактируется
(активный документ). Как побочный эффект подобного распространения
передаются файлы пользователя, которые могут содержать конфиденциальные
данные.

Количество рассылаемых писем зависит от конфигурации адресной книги Outlook
(базы адресов e-mail) на конкретном компьютере. Вирус открывает каждый
список в адресной книге и отылает зараженное сообщение по 69 первым адресам
из каждого списка. Если в списке меньше 69 адресов, вирус отсылает
сообщение на все из них. Для каждого списка создается одно зараженное
письмо, поле адресата которого содержит первые 69 адресов из списка.

Кроме того вирус посылает еще одно сообщение — на адрес
«Project1@nym.alias.net». Это сообщение содержит:

Тема:
«Guess whos infected: [имя пользователя]» (Имя пользователя берется из
настоек MS Word)

Тело письма:
«infected!»

К этому сообщению также присоединен документ, редактируемый в данный момент.

Вирус использует электронную почту для своего распространения только один
раз — для этого проверяется специальная «метка» в системном реестре:


HKEY_CURRENT_USERSoftwareMicrosoftOfficeP1 = «Syndicate»

Если этот ключ не найден, то вирус посылает сообщения электронной почты с
приложенными зараженными документами и создает этот ключ в реестре.

Вирус способен распространяться не только в версии Word97, но и в Word2000.
Эта особенность вируса связана с возможность Word2000 преобразовывать файлы
старого формата в новый при их открытии. При этом в новый формат
конвертируются все необходимые секции файла, включая макро-программы
(включая код вируса). Как результат, вирус получает возможность
распространяться в среде Word2000.

Код вируса хранится в одном макро модуле и состоит из одной авто-процедуры
«Document_Close». Вирус заражает NORMAL.DOT при закрытии зараженного
документа и записывается в другие документы при их закрытии. При заражении
вирус копирует свой код из зараженного объекта в файл-жертву.

Вирус также содержит комментарии в своем коде:


W97M/Project1 by Patient Zero -(The Syndicate)- circa 1999
The Syndicate: underground to the underground.
Greets to Kwyjibo and the CodeBreakers: Hey, dont we know each other? 😉