Virus.MSWord.Melissa

Teknik detaylar

Bu makro-virüs Word 8 ve Word 9 (Office97 ve Office2000) altında çoğaltır, Word belgesine ve şablonlara bulaşır ve kopyalarını MS Outlook kullanarak e-posta iletileriyle gönderir. Virüs son derece hızlı bir enfeksiyondur: e-posta yayma rutini, virüs kendisini sisteme yüklediğinde farklı e-posta adreslerine birçok virüslü doküman gönderebilir. Virüs ayrıca bir tetikleyici rutine sahiptir, sistem kayıt defterini değiştirir ve Word makro virüsü korumasını devre dışı bırakır.

Kopyalarını e-posta iletileriyle göndermek için, virüs diğer Microsoft uygulamalarını etkinleştirmek ve rutinlerini kullanmak için VisualBasic yeteneklerini kullanır: virüs MS Outlook'a erişim kazanır ve işlevlerini çağırır. Virüs adresleri Outlook veritabanından alır ve onlara yeni bir mesaj gönderir. Bu masaj vardır:

Konu: "[KullanıcıAdı] 'dan Önemli Mesaj" (KullanıcıAdı değişken)

Mesaj gövdesi: "İstediğin dokümanlar … başka kimseyi gösterme ;-)"

Mesajda eklenmiş bir belge de var (virüs bulaştığını söylemeye gerek yok) – virüs şu anda düzenlenmiş olan belgeye bağlanıyor (etkin belge). Bu yayılma yolunun bir yan etkisi olarak, kullanıcının belgeleri (gizli olanlar dahil) İnternet üzerinden gönderilebilir.

Virüs çok fazla mesaj gönderebilir: Outlook Adres Defterini (adres veritabanı) tarar, içindeki her bir listeyi açar ve her birinden adrese 50 mesaj gönderir. Bir listenin 50'den az girişi varsa (e-posta adresleri), hepsi etkilenir. Virüs her bir liste için bir mesaj gönderir, mesajdaki TO: alanı bu listeden tüm adresleri içerir (50'ye kadar) ve anti-spam filtreleri tarafından göz ardı edilebilir.

Virüs, virüslü e-postayı tek seferde gönderir. Göndermeden önce virüs, ID damgası için sistem kayıt defterini kontrol eder:

HKEY_CURRENT_USERSoftwareMicrosoftOffice "Melissa?" = "… Kwyjibo tarafından"

Bu girdi yoksa, virüs bulaşmış bir bilgisayardan e-posta gönderir ve bu girdiyi kayıt defterinde oluşturur. Aksi halde, virüs e-posta rutinini atlar. Sonuç olarak, virüs bulaşmış e-posta iletilerini yalnızca bir kez gönderir: sonraki girişimlerde "Melissa? =" Girdisini bulur ve atlar.

Virüs, Office2000 (Word ver.9) belgelerine yayılabilir. Bu olasılık bir Office "dönüştürme" özelliğine dayanmaktadır. Yeni bir Office sürümü, önceki Word sürümleri tarafından oluşturulan belgeleri ve şablonları yüklediğinde ve yüklediğinde, verileri belgelerde yeni biçimlere dönüştürür. Dosyalardaki makro programı da virüs makroları dahil olmak üzere dönüştürülür. Sonuç olarak, virüs Office2000 altında kendini kopyalayabilir.

Virüs Office2000'de çalıştırıldığında, ek bir eylem gerçekleştirir: Office2000 güvenlik ayarlarını (virüsten korunma) en aza indirir (en düşük düzeye ayarlar).

Virüs kodunda, içinde bir otomatik işlev bulunan "Melissa" adlı bir modül bulunur: "Document_Open", virüslü belgelerde veya "Document_Closed", NORMAL.DOT'ta (global makrolar alanı). Virüs, virüslü bir belgenin açılışında küresel makrolara neden olur ve kapanışlarında diğer belgelere yayılır. Virüslere ve şablonlara bulaşmak için, virüs kod satırını virüslü bir nesneyi "kurban" olanına kopyalar. NORMAL.DOT'un virüs bulaştığı durumda, virüs "Document_Close" adlı programdaki programa adını yazar. Virüsün kodunu NORMAL.DOT'tan bir belgeye kopyalarsa, virüs "Document_Open" olarak adlandırır. Sonuç olarak, virüs, virüslü belge açıkken aynı zamanda Word uygulamasına yüklenir ve yalnızca kapatıldıklarında diğer belgelere bulaşır.

Virüs ayrıca, geçerli tarihin dakika cinsinden geçerli zamana eşit olması durumunda aktif hale getirilen bir tetikleme rutinine de sahiptir. Virüs 'makroları kontrol her kazandığı zaman, bu rutin metni geçerli belgeye ekler:

Yirmi iki puan artı üçlü kelime puanı, artı elli puan kullanma
tüm mektuplarım. Oyunlar bitti. Ben buradan çıkıyorum.

Bu yazının yanı sıra, virüs yazarının takma adı olan "Kwyjibo", popüler "Simpsons" çizgi film dizilerine atıfta bulunuyor.

Virüsün yorumları:

WORD / Melissa Kwyjibo tarafından yazılmıştır
Word 2000 ve Word 97'de çalışır
Solucan? Makro virüs? Word 97 Virüs? Word 2000 Virüs? Sen karar ver!
Word -> E-posta | Word 97 <-> Word 2000 … bu yeni bir çağ!

Melissa.b

Bu virüs sürümü bir virüs değil, bir solucan haline dönüşür: kodunda, küresel makrolar alanı ve diğer dokümanlar bulaşma rutini "yorumlanmıştır" (bu kod solucan kodunda mevcuttur, ancak tüm komutlar tarafından devre dışı bırakılmıştır "Bu yorumdur metin "VisualBasic karakter". Ayrıca yazarın solucan kodundaki yorumlarında da belirtilmiştir: "Biz gerçekten PC'yi enfekte etmek istemiyoruz, sadece onları uyarın"

Bir bulaşmış belge aşağıdaki iletiyle eklenir:

Konu: "Güven Kimse"
Gövde: "Ne açtığına dikkat et. Bir virüs olabilir."

Eklenmiş bir belge açıldığında, solucan yayma rutini kontrolü ele alır. "Melissa.a" işareti için sistem kayıt defterinde kontrol eder ve eğer mevcut değilse, solucan her bir Outlook adres listesinden bir (ilk) adres alır ve bu adreslere kendi kopyasına sahip yeni mesajlar gönderir. Solucan, aşağıdaki metni mevcut belgeye ekler:

Bu, feci sonuçlar doğurabilirdi. Bir dahaki sefere daha dikkatli ol
bir e-posta. Kendini koru! Bu web sitelerinde nasıl olduğunu öğrenin:
http://www.eos.ncsu.edu/eos/info/computer_ethics/www/abuse/wvt/worm/
http://www.nipc.gov/nipc/w97melissa.htm
http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
http://www.microsoft.com/security/bulletins/ms99-002.asp
http://www.infoworld.com/cgi-bin/displayStory.pl?990326.wcvirus.htm