Virus: W97M.Melissa.AA (W97M.Duhalde, W97M/Melissa.O)

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 98 - Año 3 - Viernes 3 de diciembre 1999

Virus: W97M.Melissa.AA
Alias: W97M.Duhalde, W97M.Melissa.A, W97M.Melissa.Variant, W97M/Melissa.O
Tipo: Virus de macros y Gusano de Internet

Es una variante modificada del W97M.Melissa.A, en la que se ha modificado para evitar su descubrimiento por antivirus que emplean capacidades heurísticas.

Se trata de un virus de MACRO que es capaz de transmitirse por correo electrónico automáticamente de un usuario a otro y que podría transmitir información confidencial desde el ordenador infectado sin conocimiento por parte del usuario.

Al ejecutarse empezará por desactivar ciertos seteos. Si descubre que Office2000 está en uso, desactivará la opción de Seguridad en Macros del menú Herramientas, de lo contrario, asume que se está ejecutando Office97 y desactivará la opción de Macros del menú de Herramientas.

El virus contiene un módulo llamado "x", dentro del cual está la macro "Private Sub Document_Close()" en el caso de la NORMAT.DOT, o la macro "Private Sub Document_Open()" en el caso de un DOC, que contiene el código del virus.

Posee dos rutinas maliciosas (payloads).

Una, cuando un fichero infectado es abierto con el Word el virus desactiva las opciones de macro dentro del menú de herramientas como vimos, y utiliza el Outlook para enviarse a si mismo a 100 direcciones de la libreta de direcciones del usuario. El aspecto del e-mail que podemos recibir es:

De: (nombre del usuario infectado)
Asunto: Duhalde Presidente
Para: <nombre de la lista de alias>

Texto:
Programa de Gobierno 1999-2004

Una vez hecho esto, el virus deja una marca en el registro del sistema para saber que ya se ha enviado y así no volver a hacerlo en ese equipo. Dicha marca es la entrada "HKEY_CURRENT_USER\Software\Microsoft\Office\x?" con valor "y". El virus infecta la NORMAL.DOT de forma que cuando se cierra un documento abierto con el Word se infecta.

El virus también tiene un efecto que se activa si cuando es ejecutado (cuando un documento se abre) los minutos de la hora del día más uno coinciden con el día del mes (el valor del día número +1 iguala el valor del minuto +2), por ejemplo, si son las 6:28 y el día es el 29. El efecto consiste en la sustitución de la selección en curso por un espacio en blanco, o la inserción de un espacio en blanco en el cuerpo del texto del documento en el lugar donde se encuentre posicionado el cursor.

La forma de propagarse es a través del envío en masa de documentos adjuntos a un e-mail, lo que lo coloca en la categoría de propagación muy rápida con un riesgo potencialmente alto de infección.

Los antivirus lo reconocen con varios nombres:

Scan Mcafee: W97M/Melissa.o

NAVC: Bloodhound.WordMacro virus

Panda Antivirus: W97M/Dulhade

AVP: Macro.Word97.Melissa.o

F-Prot: W97M/Melissa.O

Norman: W97M/Melissa.O

(Información confeccionada con datos proporcionados por Panda Software).

Ver también:
28/mar/99 - Virus: Melissa. El comienzo
31/mar/99 - Cuando aún el "Melissa" está al acecho, aparece el "Papa"
25/may/99 - Variante del virus "Melissa" (archivos .RTF)
01/nov/99 - Melissa de nuevo
03/dic/99 - Virus: WM97/Melissa-AD
23/mar/00 - Virus: WM97/Melissa-AO
23/mar/00 - Virus: WM97/Melissa-AM
07/abr/00 - Virus: W97M/Melissa.au@mm (Elecciones 2000)
27/may/00 - Virus: Killer Resume (Melissa.BG)
17/dic/00 - W97M/Melissa.O3. Envía documentos de Word infectados
21/dic/00 - Virus: Prilissa. El 25 de diciembre formateará su disco
19/ene/01 - Melissa-X (Melissa.W). El retorno del Melissa
08/abr/01 - W97M/Venus.A@mm. Como el Melissa, se propaga via e-mail