Virus: Prilissa. El 25 de diciembre formateará su disco

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 98 - Año 3 - Viernes 3 de diciembre 1999
VSantivirus No. 166 - Año 4 - Jueves 21 de diciembre de 2000

Virus: W97M/Pri.Q (Prilissa)
Alias: Melissa.W, Prilissa, W97M/MailWorm.Variant
Tipo: Virus de macros y Gusano de Internet

No se trata de un nuevo virus, pero advertimos del mismo por su acción destructiva, que se activará el próximo 25 de diciembre.

Este virus puede verse como una mezcla entre los virus de la familia Melissa conocida y la del virus Pri. El virus principal se localiza en el macro "Document_Close", en el módulo (class module) "ThisDocument". Adicionalmente contiene otros 2 macros (un con nombre al azar y "FileOpen"). El macro "FileOpen" también es llamado "Document_Close". El virus contiene el "payload" típico del Melissa:

Si la clave la siguiente clave del registro:

HKEY_CURRENT_USER\Software\Microsoft\Office\CyberNET

no es igual a:

(C)1999 - Indonesia by AnomOke!

entonces el mecanismo que envía correo en masa se activa. Creará un nuevo mensaje con estas características:

Asunto: "Message From [nombre_de_usuario de la PC infectada]"
Texto:
This document is very important and you've GOT to read this !!!

Archivo adjunto: cualquier documento activo en el momento.

Traducción: Este documento es muy importante y usted tiene que leer esto!!

Este mensaje será enviado a las primeras 50 entradas de todas las libretas de dirección disponibles del Outlook y Outlook Express. Después de ello, el registro será modificado
(agregando lo de "(C)1999 - Indonesia by AnomOke!", para que el proceso de enviar un mensaje en masa no se repita.

Una rutina adicional se activará todos los 25 de diciembre de cada año, la cuál sobrescribirá el archivo "c:\autoexec.bat".

El archivo mostrará el texto:

Vine...Vide...Vice...Moslem Power Never End...
"Your Computer Has Just Been Terminated By -= CyberNET = Virus !!!

Como un rasgo altamente peligroso, el nuevo "c:\autoexec.bat" contiene una orden para formatear su disco duro. Después de escribir el nuevo archivo, el virus desplegará el mensaje siguiente:

Vine...Vide...Vice...Moslem Power Never End...
You Dare Rise Against Me...The Human Era is Over, The CyberNET Era Has Come !!!
(C)1999 - CyberNET

La replicación del virus está basada en rutinas compatibles con versiones SR-1 (string/line), vistas en otras familias de virus. La rutina de autochequeo está también construida en base a esas rutinas. Además, el virus utiliza el engine polimórfico del virus "Pri", y contiene el clásico mensaje gráfico de esta familia de virus.

Ver también:
28/mar/99 - Virus: Melissa. El comienzo
31/mar/99 - Cuando aún el "Melissa" está al acecho, aparece el "Papa"
25/may/99 - Variante del virus "Melissa" (archivos .RTF)
01/nov/99 - Melissa de nuevo
03/dic/99 - Virus: WM97/Melissa-AD
03/dic/99 - Virus: W97M.Melissa.AA (W97M.Duhalde, W97M/Melissa.O)
23/mar/00 - Virus: WM97/Melissa-AO
23/mar/00 - Virus: WM97/Melissa-AM
07/abr/00 - Virus: W97M/Melissa.au@mm (Elecciones 2000)
27/may/00 - Virus: Killer Resume (Melissa.BG)
17/dic/00 - W97M/Melissa.O3. Envía documentos de Word infectados
19/ene/01 - Melissa-X (Melissa.W). El retorno del Melissa
08/abr/01 - W97M/Venus.A@mm. Como el Melissa, se propaga via e-mail