Melissa
- Nowe warianty
Ledwie odetchnęliśmy po masowym uderzeniu
wirusa Melissa, a już pojawiły się nowe odmiany: W97M_MELISSA.MP,
W97M_MELISSA.U oraz W97M_MELISSA.U (Gen. 1). Są one podobne do oryginału i
rozprzestrzeniają się poprzez pocztę email wykorzystując program MS
Outlook. Melissa.MP wykorzystuje 40 adresów a Melissa.U tylko 4. Melissa.U
(Gen. 1) jest wariantem Melissa.U, który powstał najprawdopodobniej w
rezultacie błędu w działaniu któregoś z programów antywirusowych !
Zakażenie.
Po zarażeniu dokumentu, zerowane są opcje bezpieczeństwa
edytora (tylko w przypadku Word 2000). Wyłączane jest okno Macro|Security,
co uniemożliwia użytkownikowi zmodyfikować opcje bezpieczeństwa programu.
Wyłaczane jest także okienko Tools|Macro i w konsekwencji możliwość
ochrony przed złosliwymi programami makro.
Skutki.
Wirus nadchodzi w postaci zarażonego pliku MS Word. Po
jego otworzeniu zakażany jest arkusz NORMAL.DOT co stwarza groźbę dla
innych, jeszcze "zdrowych" dokumentów'.
Melissa.MP (lub
Melissa.V)
Wariant ten sprawdza rejestr:
HKEY_CURRENT_USER\Software\Microsoft\Office\
Czy zawiera "mp? … by 22" . Jeśli
nie, pod pierwsze 40 adresów w Outlook wysyłana jest poczta z tekstem:
My Pictures
<Username>
W temacie oraz załącznikiem.
Pojawia się także okienko z tekstem:
Please Check Your OutLook
Inbox E-mail!
Outlook wysyła pocztę, co można sprawdzić
w katalogu "Wysłane wiadomości".
Wariant ten oprócz wysyłania poczty usiłuje wykasować zawartość dysków:
M:\, N:\, O:\, P:\, Q:\, S:\, F:\, I:\, X:\, Z:\, H:\, L:\.
Jeśli nie uda mu się wysłać poczty czy wykasować dysków, na pierwszej
stronie zarażonego dokumentu pojawia się następujący komunikat:
Opening Microsoft
Outlook… Hint: Get Norton 2000 not McAfee 4.02
Melissa.U
Po zarażeniu wirus wysyła pocztę
pod pierwsze 4 adresy jakie odszuka. Następnie próbuje skasować następujące
pliki::
- c:\command.com
- c:\io.sys
- d:\command.com
- d:\io.sys
- c:\Ntdetect.com
- c:\Suhdlog.dat
- d:\Suhdlog.dat.
Melissa.U (Gen. 1)
Wariant ten zawiera zmodyfikowaną porcję
kodu, co rzuca podejrzenie, iż powstał w wyniku niedostatecznie skutecznego
działania jakiegoś programu antywirusowego. Z technicznego punktu widzenia
nie jest to wirus, lecz tak zwany "dropper,". Nie replikuje się,
lecz po uruchomieniu zaraża inne pliki wirusem W97M_Melissa.U (patrz opis
powyżej). Z racji niespotykanego kodu nie jest wykrywany przez liczne
programy antywirusowe ! Użytkownicy, którzy mają możliwość filtrowania
załączników email (np. używając ScanMail for
Exchange 3.0, InterScan VirusWall 3.0 z eManager
firmy Trend Micro) mogą zablokować dostęp wirusa do
swojej sieci ustawiając filtr na nazwy: "Herear~1.doc",
"Herear~1_.doc".
Ponadto zaleca się uaktualnić bazy wzorców wirusów.
Zachęcamy do odwiedzenia naszego SKLEPU
, zapoznania się z założeniami PROFILAKTYKI
ANTYWIRUSOWEJ
Opracowano na podstawie materiałów Trend
Micro
© 1999 Trend Micro Incorporated. All Rights Reserved
