BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.
Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Bulunma tarihi | 01/11/2002 |
Sınıf | Virus |
Platform | MSWord |
Açıklama |
Teknik detaylarBu makro-virüs Word 8 ve Word 9 (Office97 ve Office2000) altında çoğaltır, Word belgesine ve şablonlara bulaşır ve kopyalarını MS Outlook kullanarak e-posta iletileriyle gönderir. Virüs son derece hızlı bir enfeksiyondur: e-posta yayma rutini, virüs kendisini sisteme yüklediğinde farklı e-posta adreslerine birçok virüslü doküman gönderebilir. Virüs ayrıca bir tetikleyici rutine sahiptir, sistem kayıt defterini değiştirir ve Word makro virüsü korumasını devre dışı bırakır. Kopyalarını e-posta iletileriyle göndermek için, virüs diğer Microsoft uygulamalarını etkinleştirmek ve rutinlerini kullanmak için VisualBasic yeteneklerini kullanır: virüs MS Outlook'a erişim kazanır ve işlevlerini çağırır. Virüs adresleri Outlook veritabanından alır ve onlara yeni bir mesaj gönderir. Bu masaj vardır:
Mesajda eklenmiş bir belge de var (virüs bulaştığını söylemeye gerek yok) – virüs şu anda düzenlenmiş olan belgeye bağlanıyor (etkin belge). Bu yayılma yolunun bir yan etkisi olarak, kullanıcının belgeleri (gizli olanlar dahil) İnternet üzerinden gönderilebilir. Virüs çok fazla mesaj gönderebilir: Outlook Adres Defterini (adres veritabanı) tarar, içindeki her bir listeyi açar ve her birinden adrese 50 mesaj gönderir. Bir listenin 50'den az girişi varsa (e-posta adresleri), hepsi etkilenir. Virüs her bir liste için bir mesaj gönderir, mesajdaki TO: alanı bu listeden tüm adresleri içerir (50'ye kadar) ve anti-spam filtreleri tarafından göz ardı edilebilir. Virüs, virüslü e-postayı tek seferde gönderir. Göndermeden önce virüs, ID damgası için sistem kayıt defterini kontrol eder:
Bu girdi yoksa, virüs bulaşmış bir bilgisayardan e-posta gönderir ve bu girdiyi kayıt defterinde oluşturur. Aksi halde, virüs e-posta rutinini atlar. Sonuç olarak, virüs bulaşmış e-posta iletilerini yalnızca bir kez gönderir: sonraki girişimlerde "Melissa? =" Girdisini bulur ve atlar. Virüs, Office2000 (Word ver.9) belgelerine yayılabilir. Bu olasılık bir Office "dönüştürme" özelliğine dayanmaktadır. Yeni bir Office sürümü, önceki Word sürümleri tarafından oluşturulan belgeleri ve şablonları yüklediğinde ve yüklediğinde, verileri belgelerde yeni biçimlere dönüştürür. Dosyalardaki makro programı da virüs makroları dahil olmak üzere dönüştürülür. Sonuç olarak, virüs Office2000 altında kendini kopyalayabilir. Virüs Office2000'de çalıştırıldığında, ek bir eylem gerçekleştirir: Office2000 güvenlik ayarlarını (virüsten korunma) en aza indirir (en düşük düzeye ayarlar). Virüs kodunda, içinde bir otomatik işlev bulunan "Melissa" adlı bir modül bulunur: "Document_Open", virüslü belgelerde veya "Document_Closed", NORMAL.DOT'ta (global makrolar alanı). Virüs, virüslü bir belgenin açılışında küresel makrolara neden olur ve kapanışlarında diğer belgelere yayılır. Virüslere ve şablonlara bulaşmak için, virüs kod satırını virüslü bir nesneyi "kurban" olanına kopyalar. NORMAL.DOT'un virüs bulaştığı durumda, virüs "Document_Close" adlı programdaki programa adını yazar. Virüsün kodunu NORMAL.DOT'tan bir belgeye kopyalarsa, virüs "Document_Open" olarak adlandırır. Sonuç olarak, virüs, virüslü belge açıkken aynı zamanda Word uygulamasına yüklenir ve yalnızca kapatıldıklarında diğer belgelere bulaşır. Virüs ayrıca, geçerli tarihin dakika cinsinden geçerli zamana eşit olması durumunda aktif hale getirilen bir tetikleme rutinine de sahiptir. Virüs 'makroları kontrol her kazandığı zaman, bu rutin metni geçerli belgeye ekler:
Bu yazının yanı sıra, virüs yazarının takma adı olan "Kwyjibo", popüler "Simpsons" çizgi film dizilerine atıfta bulunuyor. Virüsün yorumları:
Melissa.bBu virüs sürümü bir virüs değil, bir solucan haline dönüşür: kodunda, küresel makrolar alanı ve diğer dokümanlar bulaşma rutini "yorumlanmıştır" (bu kod solucan kodunda mevcuttur, ancak tüm komutlar tarafından devre dışı bırakılmıştır "Bu yorumdur metin "VisualBasic karakter". Ayrıca yazarın solucan kodundaki yorumlarında da belirtilmiştir: "Biz gerçekten PC'yi enfekte etmek istemiyoruz, sadece onları uyarın" Bir bulaşmış belge aşağıdaki iletiyle eklenir:
Eklenmiş bir belge açıldığında, solucan yayma rutini kontrolü ele alır. "Melissa.a" işareti için sistem kayıt defterinde kontrol eder ve eğer mevcut değilse, solucan her bir Outlook adres listesinden bir (ilk) adres alır ve bu adreslere kendi kopyasına sahip yeni mesajlar gönderir. Solucan, aşağıdaki metni mevcut belgeye ekler:
|
Orijinaline link |
|
Bölgenizde yayılan tehditlerin istatistiklerini öğrenin |