Další potomci Melissy

V minulém čísle Computerworldu jsme se věnovali řadě mutací viru Melissa, které v současné době "oblažují" počí...


V minulém čísle Computerworldu jsme se věnovali řadě mutací viru Melissa, které
v současné době "oblažují" počítače takřka po celém světě. Dnes se podíváme na
další varianty slavného viru.
Jedna z nich nese název Melissa.Z. Pokud ji porovnáme s "mateřskou" verzí,
zjistíme, že se liší názvem modulu, v němž je umístěn programový kód viru (není
to Melissa, ale Jane to ovšem nic nemění na skutečnosti, že se jedná o
"vykradenou" Melissu). Rozesílání se děje na prvních 87 adres z databáze MS
Outlooku, přičemž tyto e-maily mají podobu:
Předmět: Is this the right E-mail address..?
Text: Dont know if i sent this to the right E-mail, if this isnt ment for you
please dont look at the attachments, its a private file..
ThanX ...(jméno uživatele)
Programátor Melissy.Z se rozhodl, že každý pátek třináctého bude zobrazeno
dialogové okno s textem "Jason Loves!!!!" Pokud dojde k aktivaci v pondělí s
lichým datem a v lichou hodinu, je naposledy otevřený dokument zazálohovaný do
souboru C:windowsImSoNice.Huh, přičemž celý text je nahrazen stále se
opakujícím slůvkem "Jane!"
Melissa.Y má makro uloženo v modulu MelissAyman.
Po neopatrném otevření zavirovaného dokumentu nejprve hledá v registru svou
"značku", čímž zjišťuje, zdali již v počítači není nainstalována. V případě, že
ji nenajde, použije prvních deset adres z MS Outlooku k odeslání e-mailové
zprávy:
Předmět: Price List 1999 2000 from (jméno uživatele)
Text: have a look on this Document, The Price list for Winter Season ;-)
Dojde-li k otevření napadeného dokumentu v okamžiku, kdy systémové hodiny
ukazují shodnou hodinu i minutu, vloží se do aktuálně otevřeného dokumentu
jistý vulgární text. Což ostatně makroviry činí docela s oblibou.
To není vše
Na prvních 48 adres z databáze MS Outlooku se automaticky rozesílá Melissa.AC.
Modul obsahující kód viru se jmenuje Y2K_OK. E-mailová zpráva má v "Předmětu"
pouze jméno uživatele a tělo neobsahuje žádnou informaci. Po rozeslání e-mailů
vytvoří Melissa.AC dva dávkové soubory, které umístí do rootu disku c: a navíc
sem uloží spustitelný program y2k.com. Dávkový soubor drives.bat nese příkaz
pro formátování disků od Z do D. Druhý nahrazuje autoexec.bat, přičemž po
restartu počítače nastavuje datum na 18. října 2099 a spouští výše zmíněný
y2k.com. Ten zapíše do paměti CMOS nesmyslné údaje, což při dalším restartu
způsobí hlášku "CMOS checksum error", což vede k zabránění spuštění počítače.
Virus Combossa.A se (na rozdíl od Melissy, jejíhož programového kódu ale
využívá) nedokáže šířit pod Wordem, kde jeho uživatel nainstaloval první
Service Pack. Infikuje globální šablonu normal.dot, díky čemuž napadá všechny
otevřené a otevírané dokumenty. V registrech si vytvoří klíč "Combo" s hodnotou
100. Poté se věnuje rozesílání e-mailů ve dvou jazykových mutacích brazilské
portugalštině a angličtině, kterou použije ve všech ostatních případech. Virus
při každém restartu postupně snižuje hodnotu klíče Combo, a jakmile dosáhne
nuly, zobrazí dialogové okno s otázkou:
Is the man the virus of the planet?
Odpovíte-li "Ano", hodnota Combo bude nastavena na 100 a celá "hra" začíná
znovu. Jinak zadá virus Combossa příkaz deltree do souboru autoexec.bat, takže
při dalším restartu systému dojde ke smazání všech dat na disku C:.
Prilissa.Q je dalším členem "rodiny Melissa". Některé antivirové programy ji
dokonce detekují jako "Melissa.W" nebo "Melissa.AG". Prilissa.Q se šíří jako
makrovirus v infikovaném dokumentu. Navíc je tento virus schopen šířit se
prostřednictvím e-mailu:
Předmět: Message From [jméno napadeného uživatele]
Zpráva: This document is very Important and youve GOT to read this !!!
Tento e-mail obsahuje jako přílohu infikovaný dokument. Aby Prilissa.Q
zabránila svému několikanásobnému šíření, vytváří si v systémovém registru
speciální klíč. Ten poté před každým rozesíláním na padesát prvních adres
zkontroluje. Pokud jej najde, nepokračuje v infekční rutině, neboť to znamená,
že zde již pracovala.
Jak vidno z předcházejícího výčtu, virus Melissa, poprvé zaznamenaný 26. března
1999, se stal skutečnou revolucí a legendou. Jen málokterý jiný zákeřný kód se
dočkal takového rozšíření a stal se takovou inspirací pro psaní dalších virů
jako právě Melissa.
0 0644 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.