Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Macro.Word97.Melissa.bg

Jest to kolejna, bardzo niebezpieczna modyfikacja makrowirusa Melissa, stanowiąca duże zagrożenie dla użytkowników komputerów i rozsyłająca się pod nieograniczoną liczbę adresów internetowych. Wirus wysyła zainfekowane wiadomości tylko przy użyciu programu MS Outlook. Nie infekuje innych plików.

Wirus przybywa do komputera jako wiadomość e-mail z dołączonym dokumentem Worda. Wiadomość wygląda następująco:

  • Temat:
    Resume - Janet Simons
  • Treść:
    To: Director of Sales/Marketing, 
    Attached is my resume with a list of references contained within. 
    Please feel free to call or email me if you have any further 
    questions regarding my experience. 
    I am looking forward to hearing from you. 
    
    Sincerely,
    Janet Simons. 

Załączony dokument zawiera dwa makra, które aktywują się podczas otwierania i zamykania dokumentu (Document_Open, Document_Close). Podczas otwarcia zainfekowanego dokumentu wirus uzyskuje dostęp do programu MS Outlook, otwiera jego książkę adresową i rozsyła zainfekowane wiadomości pod wszystkie znalezione tam adresy. Wirusa tworzy dla każdego adresu osobną wiadomość dla każdego adresu dlatego wysyła ich tyle, ile adresów znajduje się w książce adresowej.

Podczas zamykania dokumentu, wirus zapisuje dokument EXPLORER.DOC w katalogu autostartu Windows:

C:\WINDOWS\Start Menu\Programs\StartUp\Explorer.doc

W wyniku tego działania kopia wirusa będzie uruchamiana podczas każdego startu systemu. Powyższa nazwa katalogu jest na stałe wpisana w kodzie wirusa i będzie poprawna tylko gdy system będzie zainstalowany w takim właśnie katalogu.

Wirus tworzy również katalog C:\DATA i przechowuje tam swoją kopie pod nazwą:

NORMAL.DOC 
C:\Data\Normal.dot 

Po zakończeniu tych działań wirusa aktywuje swoją funkcję niszczącą. Kasuje wszystkie pliki w katalogu głównym na wszystkich dyskach od C: do Z:. Pliki są również niszczone w katalogach:

C:\My Documents\*.* 
C:\WINDOWS\*.* 
C:\WINDOWS\SYSTEM\*.* 
C:\WINNT\*.* 
C:\WINNT\SYSTEM32\*.* 

W kodzie wirusa zapisany jest tekst:

 
 '----------------------------------------------------------'
 '     Better You Than Me Buddy...                          '
 '     ... Hope You Like My vIrUs                           '
 '                 :)                                       '
 '                 :(                                       '
 '----------------------------------------------------------'
</blockquote>