Questo macro virus
si replica sotto MS Word 8 e 9 (Office 97 e Office 2000), infettando
documenti e modelli di MS Word e inviando copie di se stesso in
allegato a messaggi di posta elettronica. Il virus presenta anche
una particolare procedura (trigger routine) che viene eseguita
quando si verificano certe condizioni (vedere sotto). Inoltre, il
virus modifica il Registro di sistema e disabilita la protezione
anti-macro di MS Word.
Come accennato sopra, il virus è
capace di diffondersi anche nei documenti di Office 2000 (MS Word
9). Tale capacità è basata su una caratteristica di Office: la
conversione automatica delle macro. Quando le nuove versioni degli
applicativi di Office aprono e caricano documenti e modelli creati
con versioni precedenti, ne convertono il formato, aggiornando anche
la struttura di eventuali macro presenti all'interno dei
documenti/modelli.
Nel caso in cui il virus venga
attivato in Office 2000, esso esegue un'ulteriore azione: imposta a
livello minimo le opzioni di sicurezza (protezione anti-macro)
disponibili in Office 2000.
Il codice del virus contiene un
modulo chiamato "Melissa", nel quale è presente una funzione
automatica: "Document_Open" nei documenti infetti o "Document_Close"
nel NORMAL.DOT, cioè il modello generale di MS Word. Il virus
infetta il modello NORMAL.DOT quando vengono aperti dei documenti
infetti e si diffonde ad altri documenti quando questi ultimi
vengono chiusi.
Per inviare copie di se stesso
attraverso la posta elettronica il virus impiega delle istruzioni in
VBA (Visual Basic for Applications) che gli consentono di "pilotare"
MS Outlook. Il virus ottiene gli indirizzi presenti nel database di
MS Outlook e invia un nuovo messaggio a ciascun indirizzo. Il
messaggio si presenta con le seguenti caratteristiche:
- Nel "soggetto" (subject) del
messaggio viene inserito il testo "Important Message From
[UsareName]" (UserName è una variabile e conterrà il nome
dell'utente di Outlook).
- Nel corpo del messaggio viene
scritto il testo "Here is that document you asked for ... don't show
anyone else ;-)"
Il messaggio presenta in allegato
anche un documento infettato dal virus, ovvero il documento attivo
che l'utente sta editando in MS Word. E' importante notare che, come
logica conseguenza del sistema usato dal virus per diffondersi, si
ottiene l'invio tramite posta elettronica dei documenti creati
dall'utente, con relativa violazione della privacy ed eventuale
diffusione di dati confidenziali.
Il virus spedisce i messaggi
"infetti" soltanto una volta. Prima dell'invio, il virus controlla
il Registro di sistema ricercando una chiave particolare:
HKEY_CURRENT_USER\Software\Microsoft\Office\ "Melissa?" =
"... by Kwyjibo"
Se tale chiave non esiste, il
virus spedisce le e-mail dal computer infettato e quindi crea la
chiave nel Registro. Altrimenti, evita la spedizione di e-mail
aventi in allegato dei documenti infetti.
Il virus possiede anche una
particolare routine la cui azione viene eseguita solo nel caso in
cui il numero del giorno corrisponda a quello dei minuti. In tale
circostanza, il virus inserisce il seguente testo nel documento
attivo in MS Word:
"Twenty-two points, plus
triple-word-score, plus fifty points for using all my letters.
Game's over. I'm outta here."
Il virus contiene una serie di
commenti:
WORD/Melissa written by
Kwyjibo Works in both Word 2000 and Word 97 Worm? Macro Virus?
Word 97 Virus? Word 2000 Virus? You Decide! Word -> Email |
Word 97 <--> Word 2000 ... it's a new age!
|