Virový maják č. 16: Melissa se vrací a je destruktivnější než dříve
V březnu tohoto roku žil internetový svět fenoménem jménem Melissa. Tento virus byl pozoruhodný především masivním způsobem šíření, k němuž využíval adresář kontaktů e-mailového klienta MAPI. Autor Melissy byl nakonec dopaden, souzen a odsouzen, což ale neodradilo řadu dalších, kteří Melissu "vykradli" a vytvořili na jejím základě vlastní modifikace. Melissa tak nezemřela, ale prostřednictvím dalších variant a klonů žije dál. Minulý týden přinesl informace o středně nebezpečných variantách označených jako Melissa.U a Melissa.V.
Melissa.U
Jedná se o modifikovanou variantu Melissy.A, od níž se liší tím, že název modulu obsahujícího kód viru není Melissa ale Mmmmmmm a dále tím, že posílá svou kopii pouze na první čtyři adresy nalezené v adresáři e-mailového klienta. Stejně jako první verze dokáže i tato nastavit modifikací registrů minimální bezpečnost Wordu 2000.
Melissa.U se šíří prostřednictvím e-mailu s předmětem pictures následovaným jménem uživatele, na nějž je v infikovaném počítači registrován MS Word. Tělo zprávy obsahuje pouze hlášku "what's up ?". Po otevření přiloženého dokumentu se nejprve zobrazí hláška o přítomnosti maker, jejichž povolení povede k napadení globální šablony normal.dot (tím si virus zajistí své rozšíření do všech otevřených dokumentů). Po rozeslání e-mailů se svou kopií Melissa.U smaže systémové soubory nezbytné pro start systému, přičemž si pomocí DOSovského příkazu ATTRIB poradí i s atributy "jen ke čtení", "skrytý" a "systémový". Konkrétně se jedná o následující soubory:
- c:\command.com
- c:\io.sys
- c:\Ntdetect.com
- c:\Suhdlog.dat
- d:\command.com
- d:\io.sys
- d:\Suhdlog.dat
Obnovení systému do provozuschopného stavu není obtížné máte-li při ruce systémovou disketu.
Melissa.V
Další modifikace původní Melissy, tentokrát se liší tím, že kód viru je umístěn v modulu MP. Stejně jako Melissa.U nastavuje zabezpečení Wordu 2000 na nejnižší stupeň, který dovoluje spouštění maker.
Po otevření zavirovaného dokumentu je nejprve v registrech ve větvi HKEY_CURRENT_USER\Software\Microsoft\Office\ vyhledán klíč mp? s hodnotou ... by 22. Pokud neexistuje (tj. systém ještě nebyl zavirován), odešle přes MS Outlook e-mail na čtyřicet prvních adres v adresáři kontaktů. Předmět tohoto mailu je My Pictures+jméno uživatele, na nějž je registrován MS Word. V těle není obsažen žádný text a jako příloha je samozřejmě odeslána další kopie dokumentu s Melissou.V. Po odeslání jsou provedeny změny v registrech tak, aby se předešlo opakování celé akce.
I tato Melissa obsahuje destruktivní kód, který má za úkol smazat všechny soubory a adresáře na mapovaných discích v následujícím pořadí M, N, O, P, Q, S, F, I, X, Z, H a L. Data na lokálních discích (nemají-li tyto disky přiděleny výše uvedená písmena) naštěstí nemaže.
Melissa.V se také projevuje hláškou Please Check Your OutLook Inbox E-Mail ! a po stisknutí tlačítka OK vloží do aktivního dokumentu text Hint: Get Norton 2000 not McAfee 4.02.
Jak se těmto virům bránit? Velmi jednoduše: pokud obdržíte e-mailovou zprávu s předmětem začínajícím slovy pictures nebo My Pictures, neotvírejte v žádném případě přiložený dokument, zprávu smažte a informujte odesílatele o tom, že jeho počítač je pravděpodobně zavirován. Spolehlivým způsobem ochrany je také kvalitní antivirový program s aktuální virovou databází.
|
