Home → Encyklopedia → Makrowirusy (Word, Excel, Access, PowerPoint, Amipro oraz Visio) → Macro.Word97.Melissa
W celu wysyłania wiadomości e-mail wirus wykorzystuje możliwości języka VisualBasic, pozwalające na uruchamianie aplikacji MS Office i wykorzystywanie jego funkcji. Szkodnik pobiera adresy potencjalnych ofiar z bazy danych programu MS Outlook i wysyła pod nie wiadomości wyglądające następująco:
Important Message From [NazwaUżytkownika]
Here is that document you asked for ... don't show anyone else ;-)
Do wiadomości załączony jest dokument zawierający kopię wirusa. Skutkiem ubocznym rozprzestrzeniania się wirusa jest możliwość rozsyłania dokumentów użytkowników.
Wirus może wysyłać różne wiadomości - skanuje książkę adresową Outlooka, i wysyła po zainfekowane wiadomości do każdego z zapisanych w niej użytkownika.
Przed rozpoczęciem rozsyłania zainfekowanej korespondencji szkodnik szuka w rejestrze klucza:
HKEY_CURRENT_USER\Software\Microsoft\Office\
"Melissa?" = "... by Kwyjibo"
Jeżeli klucz ten nie istnieje wirus rozsyła wiadomości i tworzy go. W przeciwnym wypadku procedura rozprzestrzeniająca jest dezaktywowana.
Wirus możę się także rozprzestrzeniać w dokumentach Worda. Zawiera dwa makra: Document_Open oraz Document_Closed i infekuje globalny obszar makr oraz zamykane dokumenty.
W pewnych okolicznościach wirus umieszcza w bieżącym dokumencie poniższy tekst:
Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here.
W kodzie wirusa zapisane są następujące teksty:
WORD/Melissa written by Kwyjibo Works in both Word 2000 and Word 97 Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide! Word -> Email | Word 97 Word 2000 ... it's a new age!
Jest to robak rozprzestrzeniający się za pośrednictwem wiadomości e-mail.
Zainfekowane wiadomości wyglądają następująco:
Trust No One
Be careful what you open. It could be a virus.
This could have had disasterous results. Be more careful next time you open an e-mail. Protect yourself! Find out how at these web sites: http://www.eos.ncsu.edu/eos/info/computer_ethics/www/abuse/wvt/worm/ http://www.nipc.gov/nipc/w97melissa.htm http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html http://www.microsoft.com/security/bulletins/ms99-002.asp http://www.infoworld.com/cgi-bin/displayStory.pl?990326.wcvirus.htm
Analizy
Blog