A zase ta Melissa...

Počítačový virus Melissa se nesmazatelně zapsal nejen do historie, ale také do srdcí nespočetných pisatelů nejrůzn


Počítačový virus Melissa se nesmazatelně zapsal nejen do historie, ale také do
srdcí nespočetných pisatelů nejrůznějších škodlivých kódů. A tak se není čemu
divit, že se stále objevují nové a nové viry, které jsou založené na bázi
Melissy. Nedávno se objevil škodlivý kód Melissa s označením BG (antivirové
firmy pojmenovávají jednotlivé verze virů postupně od A do Z, poté od AA do AZ,
od BA do BZ atd.). Na nejnovějším přírůstku do "melissí" rodiny je zajímavých
několik věcí: Jednak je nebezpečný a jednak se dočkal poměrně značného
rozšíření.
"Originální" virus Melissa z března loňského roku se šířil tak, že se sám
automaticky rozeslal pomocí elektronické pošty od jednoho uživatele ke druhému.
Virus se aktivoval spuštěním přílohy u e-mailové zprávy (wordový dokument),
čímž se spustilo makro uvnitř dokumentu a zařídilo odeslání souboru list.doc
prostřednictvím elektronické pošty padesáti lidem, jejichž adresy byly uvedeny
v poštovních aliasech aplikace MS Outlook daného uživatele. Většina příjemců
přitom takový soubor otevřela, protože přicházel od někoho důvěrně známého. A
Melissa se vesele šířila dál dalším padesáti lidem z každého napadeného
počítače.
Melissa.BG se od "mateřské" verze liší mj. v tom, že se rozesílá na neomezené
množství e-mailových adres, navíc obsahuje i nebezpečnou rutinu, která maže
některé soubory v počítači. Virus se do počítače dostává elektronickou poštou
ve zprávě s připojeným wordovým dokumentem. Zpráva vypadá následovně:
Předmět: Resume Janet Simons
Text zprávy:
To: Director of Sales/Marketing,
Attached is my resume with a list of references contained within.
Please feel free to call or email me if you have any further questions
regarding my experience. I am looking forward to hearing from you.
Sincerely,
Janet Simons.
Melissa.BG tedy využívá obyčejné lidské zvědavosti: Kdo by odolal a nechtěl
nahlédnout do životopisu Janet Simonsové, která se ve firmě uchází o místo.
Projevy viru
Přiložený dokument obsahuje dvě makra, která jsou aktivovaná vždy při otevírání
a zavírání dokumentu (Document_Open, Document_Close). Po otevření infikovaného
dokumentu se virus snaží nalézt MS Outlook, přičemž získává přístup do adresáře
kontaktů a rozesílá infikované e-maily (viz výše) všem lidem v tomto adresáři
uvedeným. Na rozdíl od většiny ostatních e-mailových virů Melissa.BG nerozesílá
pouze jednu zprávu (a kopii na všechny ostatní kontakty), ale každému člověku
pošle jeho "osobní" vzkaz. Ve složce "Odeslaná pošta" se tak vytvoří tolik
e-mailů, kolik je kontaktů v Outlooku.
Při zavírání dokumentu infikovaného Melissou.BG je uložen "mateřský" dokument s
virem pod jménem explorer.doc do složky:
c:WindowsStart MenuProgramsStartUpExplorer.doc
Výsledkem této akce je, že dochází k otevření infikovaného dokumentu vždy po
každém spuštění operačního systému. Tato cesta je přitom v těle viru standardně
nastavena to znamená, že je funkční pouze v případě, kdy se operační systém a
všechny ostatní komponenty nacházejí v uvedených složkách.
Poté virus vykoná svou destrukční rutinu, při níž smaže všechny soubory v
kořenových adresářích disků od c: do z:, stejně jako v adresářích:
c:My Documents*.*
c:Windows*.*
c:WindowsSystem*.*
c:WinNT*.*
c:WinNTSystem32*.*
Melissa.BG ještě vytváří adresář c:data, do nějž poté ukládá původní
(neinfikovanou) kopii šablony Normal.dot.
Kód viru obsahuje následující text:
-----------------------------
Better You Than Me Buddy...
... Hope You Like My vIrUs
:)
:(
-----------------------------
Na závěr nezbývá než připojit ono obvyklé: buďte opatrní při otevírání
nečekaných e-mailů. Potom už může být pozdě.
0 1948 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.