Virový maják č. 18: Čtyři nové Melissy
W97M.Melissa.Z
W97M.Melissa.Z se od své "matky" liší jen v několika maličkostech: název modulu, v němž se ukrývá kód, není Melissa, ale Jane a virus se rozesílá na prvních 87 adres, které najde v adresáři MS Outlooku. Stejně jako stará Melissa nastavuje i tato úpravou registrů nejmenší bezpečnost MS Word 2000.
Odeslané e-mailové zprávy obsahující další kopii viru mají předmět "Is this the right E-mail address..? jméno uživatele". Samotný text zprávy je:
"Dont know if i sent this to the right E-mail, if this isn't ment for you please dont look at the attachments, its a private file.."
"ThanX ... //" a na závěr je přidáno jméno uživatele.
Po rozeslání virus čeká virus na nejbližší pátek třináctého, kdy zobrazí hlášku "Jason Lives!!!!".
Jestliže je Melissa.Z aktivována v pondělí s lichým datem v lichou hodinu, zazálohuje právě otevřený dokument do adresáře C:\windows\ImSoNice.Huh, nahradí celý text stále se opakujícím slovem "Jane!" (autor patrně patří do skupiny nešťastně zamilovaných) a dokument uloží.
W97M.Melissa.Y
Melissa.Y se od původní Melissy liší především tím, že makro je uloženo v modulu nazvaném MelissAyman. Jako většina nových Meliss umí i tato infikovat dokumenty MS Wordu 97 a 2000, přičemž vypíná antivirovou ochranu maker a nastavuje nejmenší úroveň bezpečnosti této aplikace.
Kód viru obsahuje následující text označený jako poznámka (na začátku každého řádku je znak apostrofu):
'WORD/MelissAyman written by Ayman, "Da Arabian F***er
'Works in Word 2000, Word 97 & your f***en ***!
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'This ain't a new Virus ... it's my new game, ***hole!
Po otevření zavirovaného dokumentu virus nejprve hledá registrech položku HKEY_CURRENT_USER\Software\Microsoft\Office\MelissAyman? s hodnotou ... by Ayman, podle které pozná, zda byl již v tomto počítači aktivován. V případě, že tuto položku nenajde, odešle na prvních deset adres z MS Outlooku email s předmětem "Price List 1999 - 2000 from jméno uživatele" a textem "have a look on this Document, The Price list for Winter Season ;-)". V příloze samozřejmě nechybí dokument s Melissou.Y. Po odeslání provede úpravu registrů tak, aby při příští aktivaci nedošlo k opakování celé procedury. Pokud otevřete infikovaný dokument v okamžiku, kdy se číslo dne shoduje s číslem minuty systémového času, vloží se do dokumentu text ***k you & shave your mama p*****..
Melissa.AC
Od první Melissy se liší tím, že modul obsahující kód viru, se jmenuje Y2K_OK a že emaily s další kopií jsou rozeslány na prvních 48 adres z adresáře MS Outlooku. Odeslaný e-mail má předmět "Re: jméno uživatele", tělo zprávy neobsahuje žádný text. Po odeslání e-mailů vytvoří Melissa.AC dva dávkové soubory s atributem "jen ke čtení" a dále umístí do kořenového adresáře disku C spustitelný program Y2K.COM. První dávkový soubor drives.bat obsahuje DOSovské příkazy k formátování všech disků od písmena Z do písmena D. Druhý dávkový soubor nahradí autoexec.bat, který po spuštění počítače nebo restartu systému změní systémové datum na 18. října 2099 a spustí již zmíněný Y2K.COM. Y2K.COM pak zapíše nesmyslné údaje do paměti CMOS, což způsobí při dalším zapnutí počítače hlášku "CMOS checksum error" a znemožní spuštění stroje. Ve většině případů stačí pouze vstoupit do nastavení BIOSu (zpravidla klávesou Delete), zkontrolovat všechna nastavení a uložit je volbou Write To CMOS and Exit. Protože hrozí, že při dalším pokusu o start operačního systému by mohlo, vinou modifikovaného souboru autoexec.bat, dojít k opětovnému zápisu do CMOS, bude nutné stisknout před spuštěním Windows klávesu F8, zvolit Stav nouze se systémem MS DOS a nahradit autoexec.bat ze záložní kopie, kterou byste měli mít pro podobné případy připravenou.
W97M.Combossa.A
Dalším přírůstkem do melissí rodinky je W97M.Combossa.A. Nejdůležitější informací je, že Combossa se, na rozdíl od Melissy, neumí šířit pod MS Wordem s instalovaným prvním service packem. Podobně jako většina makrovirů, infikuje i tento po otevření zavirovaného dokumentu globální šablonu normal.dot a přes ní pak napadá všechny otevřené dokumenty. Následně si vytvoří v registrech ve větvi HKEY_CURRENT_USER\Software\Microsoft\Office\Definition klíč COMBO s hodnotou 100. Combossa pak začne odesílat e-maily, které mají dvě jazykové mutace. V případě, že byste používali Word s brazilskou Portugalštinou (to je v našich končinách velmi nepravděpodobné), bude mít e-mail předmět "Ainda se lembra de mim? vaše jméno" a text "Por que năo me escreve mais? Ai vai o documento que me pediu, e năo me pergunte como consegui!...Abraços!". V jiných jazykových mutacích odešle e-mail v anglickém jazyce - předmět bude "Do you Still remember me? vaše jméno" a text "Why doesn't write me more? Here be the document that asked me, and don't wonder as I got!... Hugs". Jako příloha bude (samozřejmě) odeslán dokument obsahující další kopii viru. Combossa. Virus postupně snižuje hodnotu klíče COMBO v registrech a poté co dosáhne nuly zobrazí dialogové okno Is the man the virus of the planet?. Pokud odpovíte stiskem tlačítka Yes, nastaví se hodnota v registrech zpátky na stovku a vše začíná znovu. V opačném případe přidá Combossa příkaz deltree do souboru autoexec.bat, takže při dalším spuštění nebo restartu systému dojde ke smazání všech dat na disku C.
Vysvětlovat, jak se podobným virům bránit by bylo zřejmě nošení dříví do lesa. Takže jen pro jistotu: nikdy neotvírejte žádný dokument, který jste si sami nevyžádali (obzvláště pak dávejte pozor na anglicky psané e-maily od českých uživatelů - je poměrně nepravděpodobné, že by vám váš kamarád, známý nebo obchodní partner začal, z ničeho nic, psát cizí řečí).
|
