Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: Melissa. El comienzo
 
VSantivirus No. 75 - Año 3 - Domingo 28 de marzo de 1999

Algunas puntualizaciones sobre el "Melissa"
Mutaciones del "Melissa"

Nombre: WM97/Melissa
Alias: Macro.Word97.Melissa
Tipo: Virus de macros y Gusano de Internet

El virus es conocido como W97M_Melissa o Macro.Word97.Melissa. Nos puede llegar en un archivo adjunto a un mensaje electrónico, enviado por alguien conocido (como el Happy99).

Dicho mensaje, incluye en asunto (en inglés): "Important message from..." (Mensaje importante de...) y en el cuerpo del mensaje: "Here is that document you asked for ... don't show anyone else ;-)", donde se indica que dicho documento fue solicitado por usted (y que no se lo muestre a nadie más).

Si usted es curioso, tratará de abrir el documento adjunto. Y si es precavido, lo revisará 
antes con un par de antivirus. Pero si esos antivirus no están actualizados, no encontrará nada anormal.

Entonces, cuando abra ese archivo con cualquiera de las versiones de Word actuales (97 o 2000), el virus macro se activará y abrirá el Outlook en su computadora.

En el Outlook, selecciona los primeros cincuenta nombres de su libreta de direcciones y les enviará a esas personas 50 mensajes con documentos de Word infectados.

¡Todos ellos recibirán un documento infectado de alguien conocido!. Y puede ser cualquier archivo Word, incluso confidencial, que usted tenga en su sistema. ¡Además de la infección, estará revelando sus documentos privados!.

Al darse ciertas circunstancias el virus insertará un determinado texto en esos documentos, como veremos enseguida.

Este virus de macros puede propagarse bajo las versiones 8 y 9 (Office97 y Office2000) de Microsoft Word. Infecta tanto documentos como plantillas de este programa, y como vemos, se envía a si mismo a través del correo electrónico.

Una rutina de disparo incorporada, modifica algunas cosas en el registro del sistema, y además desactiva la protección contra virus de macros del Office 2000.

Para propagarse a los documentos del nuevo Office, se aprovecha de su opción de conversión. Cada vez que una nueva versión de Office es ejecutada, y se cargan documentos o plantillas creadas por versiones anteriores, su contenido es convertido automáticamente a los nuevos formatos, incluidos los macros, y por lo tanto el propio virus.

Es bajo estas circunstancias que desactiva la protección anti-virus del Office 2000, simplemente cambiando su nivel de seguridad.

Dentro de su código se esconde un módulo llamado "Melissa". Este módulo incorpora la función "Document_Open" a los documentos infectados, y "Document_Close" a la plantilla NORMAL.DOT.

Para infectar documentos y plantillas el virus copia línea a línea su propio código a otro documento abierto. En caso de que el NORMAL.DOT ya esté infectado, el virus renombra su código como "Document_Close", y cuando el virus copia el código de NORMAL.DOT a un documento, lo renombra como "Document_Open".

Para enviarse a si mismo a través del correo electrónico, el virus usa algunas rutinas de VisualBasic que le permiten activar otras aplicaciones de Microsoft, de este modo consigue acceso al Outlook y a sus funciones.

El virus toma de la libreta de direcciones de este programa, los cincuenta primeros nombres y les envía a cada uno de ellos un nuevo mensaje con un documento vinculado (un archivo adjunto por supuesto infectado).

Este documento puede ser el que usted está revisando en ese momento (documento activo). Un documento confidencial, que puede ser distribuido por toda la red sin que usted lo sepa.

Sin embargo, el virus envía una sola vez el mensaje infectado. Para ello, verifica este dato en el registro:

HKEY_CURRENT_USER\Software\Microsoft\Office
Melissa? = ... by Kwyjibo

Si esta entrada no existe, y antes de crearla, el virus envía los mensajes infectados. La próxima vez, si la entrada existe, no enviará ningún mensaje.

Una rutina de disparo se activa siempre que el número correspondiente al día actual sea igual al número de los minutos. En ese caso, el virus inserta el texto siguiente en el documento abierto en ese momento:

Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here.

Dentro del virus pueden encontrarse estos comentarios:

WORD/Melissa written by Kwyjibo
Works in both Word 2000 and Word 97
Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You decide!
Word -> Email | Word 97 <--> Word 2000 ... it's a new age!

* VSantivirus No. 75 - Año 3 - Domingo 28 de marzo de 1999

Algunas puntualizaciones sobre el "Melissa"

Existen ciertas confusiones en cuánto al virus Melissa.

El virus no envía páginas ni documentos pornográficos.

La mención a este tema, se debe a que este virus se originó en un newsgroups (alt.sex) en donde apareció un mensaje con un documento de Word adjunto, en el cuál se ofrecía una lista de passwords a sitios pornográficos.

Este documento (infectado con el virus "Melissa"), fue rápidamente bajado por casi todos los usuarios (tal vez cientos o miles), quienes fueron los primeros en infectarse.

Sin saberlo, estos enviaron a cada uno de los 50 primeros usuarios de sus propias libretas de direcciones, 50 nuevos documentos infectados (documentos de su propia computadora, todos ellos personales).

El "Melissa" no causa daños en las computadoras afectadas.
La única modificación del registro es para poder efectuar su acción una sola vez (una forma de ocultarse, al contrario del "Papa" que lo hace todas las veces que nos conectamos a Internet), y la inserción de un texto al documento abierto si se dan ciertas condiciones.

Bloqueo de servidores de correo.

También se ha hablado del cierre de servidores de correo, y otros "descalabros" al que se refieren los medios. Esto es cierto, y se debe al volumen de mensajes generados por esta infección.

Un daño parecido pero muy superior al que produce cualquier carta tipo "cadena" (esas que nos piden les enviemos a 5 o 10 conocidos el mismo mensaje para ganar dinero, o participar en alguna tarea solidaria). Es sencillo imaginarlo si comprendemos el concepto de que una persona envie 50 mensajes a otras 50 personas, cada una de las cuáles envía 50 a otras 50.... Y así hasta el infinito (¡y además cada una con archivos adjuntos, con lo que no solo es la cantidad sino el tamaño lo que llega a límites insospechados !). Si toman una calculadora, verán las impresionantes cifras que esto puede llegar a alcanzar.

La prensa ha manejado el tema con cierto sensacionalismo. Hemos visto noticieros de TV que jamás mencionaron el tema de los virus, que han dado alertas como si de una guerra nuclear se tratase. El peligro existe, es cierto -no debemos minimizarlo-, pero recordemos que la principal causa de que se puedan propagar, es nuestra propia conducta. Jamás debemos abrir ni ejecutar nada que no hayamos solicitado. Y siempre debemos revisar cualquier programa, documento o cualquier otro tipo de archivo, antes de abrirlo o ejecutarlo, con por lo menos dos antivirus actualizados.

* VSantivirus No. 77 - Año 3 - Miércoles 31 de marzo de 1999

Mutaciones del "Melissa"

Nombres:
Macro.Word97.Melissa.b
Macro.Excel97.Papa.a
Macro.Excel97.Papa.b

"Melissa.b" es una variante del Melissa, pero solo tiene activa su parte de gusano.

En su código, el área global de macros y todas las rutinas de infección están comentadas (el código existe, pero está comentado con el carácter de "esto es un comentario" del VisualBasic, dejándolo inactivo). En el campo de comentario del autor del documento se lee:

We don't want to actually infect the PC, just warn them  (No queremos infectar su PC; solo avisarle).

El documento infectado se adjunta a un mensaje e-mail con la siguiente información:

Asunto: Trust No One
Texto: Be careful what you open. It could be a virus.

Cuando el documento es abierto, el virus (worm) toma el control. Primero comprueba el registro del sistema buscando una marca del "Melissa.a", y si no está presente, toma la primera dirección que encuentra en la libreta de direcciones del OutLook y envía un mensaje con una copia del virus a esa dirección. En ese momento, el virus inserta un texto en el documento infectado:

This could have had disasterous results. Be more careful next 
time you open an e-mail. Protect yourself! Find out how at 
these web sites:

http://www.eos.ncsu.edu/eos/info/computer_ethics/www/abuse/wvt/worm/
http://www.nipc.gov/nipc/w97melissa.htm
http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
http://www.microsoft.com/security/bulletins/ms99-002.asp
http://www.infoworld.com/cgi-bin/displayStory.pl?990326.wcvirus.htm

(Extractado del boletín informativo de AVP España del 31 de Marzo de 1.999)


Ver también:

31/mar/99 - Cuando aún el "Melissa" está al acecho, aparece el "Papa"
25/may/99 - Variante del virus "Melissa" (archivos .RTF)
01/nov/99 - Melissa de nuevo
03/dic/99 - Virus: WM97/Melissa-AD
03/dic/99 - Virus: W97M.Melissa.AA (W97M.Duhalde, W97M/Melissa.O)
23/mar/00 - Virus: WM97/Melissa-AO
23/mar/00 - Virus: WM97/Melissa-AM
07/abr/00 - Virus: W97M/Melissa.au@mm (Elecciones 2000)
27/may/00 - Virus: Killer Resume (Melissa.BG)
17/dic/00 - W97M/Melissa.O3. Envía documentos de Word infectados
21/dic/00 - Virus: Prilissa. El 25 de diciembre formateará su disco
19/ene/01 - Melissa-X (Melissa.W). El retorno del Melissa
08/abr/01 - W97M/Venus.A@mm. Como el Melissa, se propaga via e-mail

 

Copyright 1996-2000 Video Soft BBS