Virus.MSWord.Melissa

Дата обнаружения 11/01/2002
Класс Virus
Платформа MSWord
Описание

Technical Details

Заражает файлы документов и шаблонов MS Word и рассылает свои копии в
сообщениях электронной почты при помощи MS Outlook. Вирус распространяется
чрезвычайно быстро: процедура рассылки зараженных писем отсылает большое
количество вирусных копий по адресам из всех списков адресной книги MS
Outlook. Вирус также изменяет системный реестр, выключает антивирусную
защиту MS Word.

Для рассылки своих копий через электронную почту вирус использует
возможность Visual Basic активизировать другие приложения MS Windows и
использовать их процедуры. Вирус вызывает MS Outlook, считывает из базы
адресов Outlook адреса электронной почты и посылает по этим адресам
сообщение. Это сообщение содержит:

Тема:

«Important Message From [UserName]» (UserName берется из базы адресов)

Тело письма:
«Here is that document you asked for … don’t show anyone else ;-)»

К сообщению также присоединен документ (естественно зараженный), причем
вирус присоединяет тот документ, который в данный момент редактируется
(активный документ). Как побочный эффект подобного распространения
передаются файлы пользователя, которые могут содержать конфиденциальные
данные.

Количество рассылаемых писем зависит от конфигурации адресной книги Outlook
(базы адресов e-mail) на конкретном компьютере. Вирус открывает каждый
список в адресной книге и отылает зараженное сообщение по 50 первым адресам
из каждого списка. Если в списке меньше 50 адресов, вирус отсылает
сообщение на все из них. Для каждого списка создается одно зараженное
письмо, поле адресата которого содержит первые 50 адресов из списка.

Вирус использует электронную почту для своего распространения только один
раз — для этого проверяется специальная «метка» в системном реестре:

HKEY_CURRENT_USERSoftwareMicrosoftOffice «Melissa?»
= «… by Kwyjibo»

Если этот ключ не найден, то вирус посылает сообщения электронной почты с
приложенными зараженными документами и создает этот ключ в реестре.

Вирус способен распространяться не только в версии Word97, но и в Word2000.
Эта особенность вируса связана с возможность Word2000 преобразовывать файлы
старого формата в новый при их открытии. При этом в новый формат
конвертируются все необходимые секции файла, включая макро-программы
(включая код вируса). Как результат, вирус получает возможность
распространяться в среде Word2000.

При запуске вируса в Word 2000 он производит дополнительные действия:
выключает (устанавливает в минимум) установки безопасности (антивирусную
защиту).

Код вируса хранится в одном макро модуле «Melissa» и состоит из одной
авто-процедуры: в зараженных документах это «Document_Open», в NORMAL.DOT
(область глобальных макросов) — «Document_Close». Вирус заражает NORMAL.DOT
при открытии зараженного документа и записывается в другие документы при их
закрытии. При заражении вирус копирует свой код построчно из зараженного
объекта в файл-жертву. В случае заражения области глобальных макросов вирус
переименовывает свою процедуру в «Document_Close», когда же происходит
заражение документов, то вирусная процедура переименовывается в
«Document_Open». В результе вирус заражает Word при открытии зараженного
документа, а при закрытии других документов они, в свою очередь,
оказываются зараженными.

Вирус также содержит процедуру-эффект, которая срабатывает в случае если
день равен минутам в момент активации вирусного кода. Эта процедура
вставляет следующий текст в редактируемый документ:

Twenty-two points, plus triple-word-score, plus fifty points for using all
my letters. Game’s over. I’m outta here.

Этот текст, так же, как и прозвище автора вируса («Kwyjibo»), взят из
телевизионного мульт-сериала «Симпсоны» («Simpsons»).

Вирус также содержит комментарии в своем коде:

WORD/Melissa written by Kwyjibo
Works in both Word 2000 and Word 97
Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
Word -> Email | Word 97 <--> Word 2000 … it’s a new age!

Melissa.b

Эта версия вируса является скорее червем, чем вирусом: в ее коде процедура
заражения глобальной области макросов а других документов заблокирована
(этот код присутствует, но никогда не исполняется). В коде червя также
присутствует комментарий автора:

«We don’t want to actually infect the PC,
just warn them»
[Мы не хотим действительно заражать компьютер, только
предупредить пользователей].

Зараженный документ вложен в сообщение электронной почты следующего содержания:

Тема: «Trust No One»
Текст: «Be careful what you open. It could be a virus.»

При открытии этого документа код червя получает управление. Он проверяет
системный реестр на предмет поражения компьютера вирусом «Melissa.a» и,
если не находит ее следов, берет по одному (первому) адресу из каждого
списка адресов MS Outlook и посылает по ним новое сообщение с копией
зараженного документа.

Вирус добавляет в открытый документ текст:

This could have had disasterous results. Be more careful next tiem you open
an e-mail. Protect yourself! Find out how at these web sites:
http://www.eos.ncsu.edu/eos/info/computer_ethics/www/abuse/wvt/worm/
http://www.nipc.gov/nipc/w97melissa.htm
http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
http://www.microsoft.com/security/bulletins/ms99-002.asp
http://www.infoworld.com/cgi-bin/displayStory.pl?
990326.wcvirus.htm