BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER. Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Detect date
01/11/2002
Sınıf
Virus
Platform
MSWord

Ana sınıf: VirWare

Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında ​​gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.

Sınıf: Virus

Virüsler yerel makinenin kaynakları üzerinde çoğalırlar. Solucanlardan farklı olarak, virüsler diğer bilgisayarları yaymak veya bunlara nüfuz etmek için ağ hizmetlerini kullanmaz. Virüsün bir kopyası, yalnızca virüslü nesnenin, virüs işleviyle alakası olmayan bir nedenle başka bir bilgisayarda etkinleştirilmişse, uzak bilgisayarlara ulaşacaktır. Örneğin: erişilebilir disklere virüs bulaştığında, bir virüs bir ağ kaynağında bulunan bir dosyaya girer, bir virüs kendisini çıkarılabilir bir depolama aygıtına kopyalar veya bir dosyayı virüslü bir eki olan bir e-posta gönderir.

Platform: MSWord

Microsoft Word (MS Word), popüler bir kelime işlemci ve Microsoft Office'in bir parçasıdır. Microsoft Word dosyaları .doc veya .docx uzantısına sahiptir.

Açıklama

Teknik detaylar

Bu makro-virüs Word 8 ve Word 9 (Office97 ve Office2000) altında çoğaltır, Word belgesine ve şablonlara bulaşır ve kopyalarını MS Outlook kullanarak e-posta iletileriyle gönderir. Virüs son derece hızlı bir enfeksiyondur: e-posta yayma rutini, virüs kendisini sisteme yüklediğinde farklı e-posta adreslerine birçok virüslü doküman gönderebilir. Virüs ayrıca bir tetikleyici rutine sahiptir, sistem kayıt defterini değiştirir ve Word makro virüsü korumasını devre dışı bırakır.

Kopyalarını e-posta iletileriyle göndermek için, virüs diğer Microsoft uygulamalarını etkinleştirmek ve rutinlerini kullanmak için VisualBasic yeteneklerini kullanır: virüs MS Outlook'a erişim kazanır ve işlevlerini çağırır. Virüs adresleri Outlook veritabanından alır ve onlara yeni bir mesaj gönderir. Bu masaj vardır:

Konu: "[KullanıcıAdı] 'dan Önemli Mesaj" (KullanıcıAdı değişken)

Mesaj gövdesi: "İstediğin dokümanlar ... başka kimseyi gösterme ;-)"
Mesajda eklenmiş bir belge de var (virüs bulaştığını söylemeye gerek yok) - virüs şu anda düzenlenmiş olan belgeye bağlanıyor (etkin belge). Bu yayılma yolunun bir yan etkisi olarak, kullanıcının belgeleri (gizli olanlar dahil) İnternet üzerinden gönderilebilir.

Virüs çok fazla mesaj gönderebilir: Outlook Adres Defterini (adres veritabanı) tarar, içindeki her bir listeyi açar ve her birinden adrese 50 mesaj gönderir. Bir listenin 50'den az girişi varsa (e-posta adresleri), hepsi etkilenir. Virüs her bir liste için bir mesaj gönderir, mesajdaki TO: alanı bu listeden tüm adresleri içerir (50'ye kadar) ve anti-spam filtreleri tarafından göz ardı edilebilir.

Virüs, virüslü e-postayı tek seferde gönderir. Göndermeden önce virüs, ID damgası için sistem kayıt defterini kontrol eder:

HKEY_CURRENT_USERSoftwareMicrosoftOffice "Melissa?" = "... Kwyjibo tarafından"

Bu girdi yoksa, virüs bulaşmış bir bilgisayardan e-posta gönderir ve bu girdiyi kayıt defterinde oluşturur. Aksi halde, virüs e-posta rutinini atlar. Sonuç olarak, virüs bulaşmış e-posta iletilerini yalnızca bir kez gönderir: sonraki girişimlerde "Melissa? =" Girdisini bulur ve atlar.

Virüs, Office2000 (Word ver.9) belgelerine yayılabilir. Bu olasılık bir Office "dönüştürme" özelliğine dayanmaktadır. Yeni bir Office sürümü, önceki Word sürümleri tarafından oluşturulan belgeleri ve şablonları yüklediğinde ve yüklediğinde, verileri belgelerde yeni biçimlere dönüştürür. Dosyalardaki makro programı da virüs makroları dahil olmak üzere dönüştürülür. Sonuç olarak, virüs Office2000 altında kendini kopyalayabilir.

Virüs Office2000'de çalıştırıldığında, ek bir eylem gerçekleştirir: Office2000 güvenlik ayarlarını (virüsten korunma) en aza indirir (en düşük düzeye ayarlar).

Virüs kodunda, içinde bir otomatik işlev bulunan "Melissa" adlı bir modül bulunur: "Document_Open", virüslü belgelerde veya "Document_Closed", NORMAL.DOT'ta (global makrolar alanı). Virüs, virüslü bir belgenin açılışında küresel makrolara neden olur ve kapanışlarında diğer belgelere yayılır. Virüslere ve şablonlara bulaşmak için, virüs kod satırını virüslü bir nesneyi "kurban" olanına kopyalar. NORMAL.DOT'un virüs bulaştığı durumda, virüs "Document_Close" adlı programdaki programa adını yazar. Virüsün kodunu NORMAL.DOT'tan bir belgeye kopyalarsa, virüs "Document_Open" olarak adlandırır. Sonuç olarak, virüs, virüslü belge açıkken aynı zamanda Word uygulamasına yüklenir ve yalnızca kapatıldıklarında diğer belgelere bulaşır.

Virüs ayrıca, geçerli tarihin dakika cinsinden geçerli zamana eşit olması durumunda aktif hale getirilen bir tetikleme rutinine de sahiptir. Virüs 'makroları kontrol her kazandığı zaman, bu rutin metni geçerli belgeye ekler:

Yirmi iki puan artı üçlü kelime puanı, artı elli puan kullanma
tüm mektuplarım. Oyunlar bitti. Ben buradan çıkıyorum.

Bu yazının yanı sıra, virüs yazarının takma adı olan "Kwyjibo", popüler "Simpsons" çizgi film dizilerine atıfta bulunuyor.

Virüsün yorumları:

WORD / Melissa Kwyjibo tarafından yazılmıştır
Word 2000 ve Word 97'de çalışır
Solucan? Makro virüs? Word 97 Virüs? Word 2000 Virüs? Sen karar ver!
Word -> E-posta | Word 97 <-> Word 2000 ... bu yeni bir çağ!

Melissa.b

Bu virüs sürümü bir virüs değil, bir solucan haline dönüşür: kodunda, küresel makrolar alanı ve diğer dokümanlar bulaşma rutini "yorumlanmıştır" (bu kod solucan kodunda mevcuttur, ancak tüm komutlar tarafından devre dışı bırakılmıştır "Bu yorumdur metin "VisualBasic karakter". Ayrıca yazarın solucan kodundaki yorumlarında da belirtilmiştir: "Biz gerçekten PC'yi enfekte etmek istemiyoruz, sadece onları uyarın"

Bir bulaşmış belge aşağıdaki iletiyle eklenir:

Konu: "Güven Kimse"
Gövde: "Ne açtığına dikkat et. Bir virüs olabilir."

Eklenmiş bir belge açıldığında, solucan yayma rutini kontrolü ele alır. "Melissa.a" işareti için sistem kayıt defterinde kontrol eder ve eğer mevcut değilse, solucan her bir Outlook adres listesinden bir (ilk) adres alır ve bu adreslere kendi kopyasına sahip yeni mesajlar gönderir. Solucan, aşağıdaki metni mevcut belgeye ekler:

Bu, feci sonuçlar doğurabilirdi. Bir dahaki sefere daha dikkatli ol
bir e-posta. Kendini koru! Bu web sitelerinde nasıl olduğunu öğrenin:
http://www.eos.ncsu.edu/eos/info/computer_ethics/www/abuse/wvt/worm/
http://www.nipc.gov/nipc/w97melissa.htm
http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
http://www.microsoft.com/security/bulletins/ms99-002.asp
http://www.infoworld.com/cgi-bin/displayStory.pl?990326.wcvirus.htm

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com

Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!
Kaspersky IT Security Calculator
Daha fazla bilgi edin
Yeni Kaspersky!
Dijital hayatınız güçlü korumayı hak ediyor!
Daha fazla bilgi edin
Confirm changes?
Your message has been sent successfully.