|
VSantivirus No. 162 - Año 4 - Domingo 17 de diciembre de 2000
Nombre: W97M/Melissa.O3
Tipo: Virus de macros y Gusano de Internet
Se trata de una variante del Melissa, un virus de macro capaz de infectar documentos y plantillas de Word 97 y 2000.
Desactiva la protección contra macros de Office, y es capaz de propagarse a través del correo electrónico, lo que le permite difundirse a una gran velocidad.
El virus infecta primero la plantilla NORMAL.DOT, y luego de ello a cada documento de Word (.DOC) que sea creado.
Como el Melissa original, es capaz de propagarse a si mismo a través del correo electrónico, seleccionando como destinatarios, los 50 primeros contactos de la libreta de direcciones del Outlook.
Cada uno de los mensajes enviados, tendrán estas características:
Asunto:
Important Message From [nombre_del_usuario_infectado]
Texto:
Here is that document you asked for ... don't show anyone else ;-)
Archivo adjunto: cualquier documento Word (.DOC) infectado.
Cuando la persona que recibe el mensaje, abre el archivo adjunto, el virus se activa, e infecta al sistema.
Note que el documento enviado, podrá ser cualquiera que esté activo en ese momento, por lo que el virus ocasiona además de la infección en si misma, una flagrante violación a su privacidad, enviando sin su consentimiento, documentos que podrían contener información confidencial, y lo hace no a uno, sino a 50 direcciones extraídas de su propia libreta.
Si en la computadora de la víctima, se está ejecutando Word 2000, el virus desactiva la opción
"Herramientas", "Macros",
"Seguridad". Si en cambio se está corriendo Word 97, se desactiva la opción presente bajo
"Herramientas", "Macro".
Con esta acción, se impide el aviso de posibles virus en las macros utilizadas. Tampoco se muestra la solicitud de confirmación tanto para la conversión de documentos, como para la grabación de los cambios en la plantilla
NORMAL.DOT.
Luego de ello, es que el virus envía un mensaje con un documento infectado a las primeras 50 entradas de la libreta de direcciones del Outlook.
El virus en si mismo, consta de un solo módulo, llamado justamente "Melissa".
La clave del registro modificada es la siguiente:
HKCU\Software\Microsoft\Office
Allí coloca el siguiente texto: "Melissa ...by
Kwyjibo", lo que sirve como marca de la infección, a los efectos de no volver a repetir la acción de envío masivo por correo.
Fuente: Panda Software
Ver también:
28/mar/99 - Virus: Melissa. El comienzo
31/mar/99 - Cuando aún el "Melissa" está al acecho, aparece el "Papa"
25/may/99 - Variante del virus
"Melissa" (archivos .RTF)
01/nov/99 - Melissa de nuevo
03/dic/99 - Virus: WM97/Melissa-AD
03/dic/99 - Virus: W97M.Melissa.AA (W97M.Duhalde, W97M/Melissa.O)
23/mar/00 - Virus: WM97/Melissa-AO
23/mar/00 - Virus: WM97/Melissa-AM
07/abr/00 - Virus: W97M/Melissa.au@mm (Elecciones 2000)
27/may/00 - Virus:
Killer Resume (Melissa.BG)
21/dic/00 - Virus: Prilissa. El 25 de diciembre formateará su disco
19/ene/01 - Melissa-X (Melissa.W). El retorno del Melissa
08/abr/01 - W97M/Venus.A@mm. Como el Melissa, se propaga via e-mail
|
|