Létrehozva: 2007-11-12, 15:54:24
Utolsó frissítés: 2009-11-09, 18:51:03
Platform: W97M
Típus: macrovirus
Méret: 5468
Dátum: 1999-11-17
Nyelv: VBA, Word97
Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP, Windows 2003, Windows Vista, OS2
Nem veszélyeztetett operációs rendszer(ek): DOS, Linux, Unix, Solaris, BeOS, Windows 3.xx, Windows CE, Windows Mobile, Palm, Symbian összes...
Veszélyeztetett fájlok: DOC
Működéshez szükséges modulok: WordBASIC
 

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A W97M/Pri.Q macrovirus elnevezései az egyes vírusvédelmek szerint:

vírusvédelem elnevezés
Avast MW97:Pri
AVG W97M/Class
W97M/Melissa
BitDefender W97M.Melissa.AG
e-Trust W97M/Pri.Q:mm
F-PROT W97M/Pri.Q@mm
F-Secure W97M/Pri.Q@mm
Ikarus Virus.MSWord.Psd
Kaspersky Virus.MSWord.Melissa.w
vírusvédelem elnevezés
McAfee W97M/Pri.q@MM(Virus)
Microsoft W97M/Pri.Q
NOD32 (ESET) W97M/Pri.Q
Norton Antivirus O97M.CyberNet.Gen
Panda W97M/Pri.Q
Rising Antivirus Macro.Word97.Melissa.w
Sophos WM97/Melissa-AG
Trend Micro W97M_PRILISSA
VirusBuster WORD.97.PRI.B
 

Telepítés:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.
image image

A W97M/Pri.Q macrovirus a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):

  • [HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security] "Level"=""
  • [HKEY_CURRENT_USER\Software\Microsoft\Office] "CyberNET"="(C)1999 - Indonesia by AnomOke!"
Az újraindítást követő aktivizálódás elérésének számos egyéb lehetősége is van. A Windows működése során néhány olyan szöveges, konfigurációs állományt is használ, mely lehetőséget ad az automatikus elindulásra.

A W97M/Pri.Q macrovirus a következő sorokat hozzáadja az autoexec.bat fájlhoz:

@echo off
@echo Vine...Vide...Vice...Moslem Power Never End...
@echo Your Computer Have Just Been Terminated By -= CyberNET =- Virus !!!
ctty nul
format c: /autotest /q /u

Makrókezelés

A makróvírusok célja, hogy terjedésük során egy másik dokumentumot megfertőzzenek. Minden olyan adatállomány, mely az adatokon kívül az adatállomány értelmezni képes alkalmazás számára végrehajtható programot tartalmaz makróvírussal megfertőzhető. Természetesen ez csak akkor igaz, ha az alkalmazás számára végrehajtandó utasításkészlet lehetőséget teremt erre. A makróvírusok a terjedésük érdekében a megfertőzött dokumentumban makrókat hoznak létre. Ebben helyezik el a terjedésükhöz szükséges kódot, amit aztán a dokumentumot kezelő alkalmazás (például Microsoft Word, Excel) értelmez és végrehajt.

A W97M/Pri.Q macrovirus által fertőzött dokumentum tartalmazza a(z) Document_Open vírusmakrót.

A fertőzött sablonfájl tartalmazza az alábbi vírusmakrókat:

  • Document_Close
  • ToolsMacro
  • ViewVBCode
Megjegyzés: Egy állomány dokumentum, illetve sablon voltát NEM a fájl kiterjesztése dönti el. Minden sablon és dokumentum tartalmaz egy típusjelzést (ez egyetlen bit az állományban), ami alapján az alkalmazás eldönti, hogy dokumentumról vagy sablonról van-e szó. A makróvírusok a dokumentrumon, illetve sablonon belül számos különböző területen lehetnek. A vírus készítőjének alapvető célja, hogy minél jobban eldugja a vírus kódját.

A W97M/Pri.Q macrovirus fertőzése class típusú, a víruskód a ThisDocument modulban található.

A makróvírusoknak gondoskodniuk kell arról, hogy a fertőzött makrókód elinduljon. Erre a makróvírusokat kezelő alkalmazások számos lehetőséget kínálnak.

Az alábbi automakrók segítségével éri el a makróvírus, hogy felhasználói beavatkozás nélkül, automatikusan lefusson és vezérléshez jusson a számítógép felett a víruskód:

  • Document_Open
  • Document_Close
A makróvírusok saját rejtőzködésük érdekében gyakran lopakodási technikákat is bevetnek, megnehezítve ezzel a felfedezésüket.

A W97M/Pri.Q macrovirus (újra)engedélyezi az automakrókat.

A W97M/Pri.Q macrovirus alábbi vírusmakrói azonos nevűek, mint a beépített menüparancsokhoz tartozó gyári makrók, így lehetetlenné teszik a menüpont indítását:

  • ToolsMacro
  • ViewVBCode

A W97M/Pri.Q macrovirus a számára veszélyes Tools Macro menüparancsot eltünteti a menüből.

A W97M/Pri.Q macrovirus kikapcsolja a konverzió átalakításának jóváhagyását, a Word makróvírus védelmét, a normal.dot módosítására való promptolást.

A macrovirus készítője vagy készítői véletlenszerű vagy sorszámozott elnevezéseket alkalmaznak a változónevekben és függvénynevekben. Ezzel nehezítik a víruskód megértését.

Ha a normal.dot makrói között szerepel a Call karakterlánc, akkor a macrovirus nem fertőz.

A makróvírusok esetenkén több különböző típusú állományt is képesek megfertőzni.

A macrovirus DOC kiterjesztésű fájlokat fertőz.


E-mail üzenetek

Az e-mail üzenetekben terjedő férgek elsődleges célja, hogy egy másik számítógépet megfertőzzenek. Ezt e-mail üzenetek létrehozásával és elküldésével érik el. Az létrehozott e-mail üzenetek általában tartalmazzák a féreg kódját, de az is előfordulhat, hogy maga a megtámadott számítógép felhasználója tölti azt le az üzenetben megadott hivatkozásról. Az egyes férgek a legkülönfélébb paraméterekkel rendelkező e-mail üzeneteket képesek generálni és elküldeni.

A W97M/Pri.Q macrovirus a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.

Hogy az e-mail üzenetekben terjedő vírusok, férgek minél inkább el tudjanak terjedni, a megtámadott számítógépeken e-mail címeket gyűjtenek. Ezeket az e-mail címeket aztán felhasználják egyrészt arra, hogy a vírus, féreg kódját továbbküldjék. Esetenként a megtalált címeket a Feladó mező kitöltésére is használják, meghamisítva ezzel az üzenet forrását.

A W97M/Pri.Q macrovirus a(z) .wab kiterjesztésű fájlokban keres e-mail címeket.

A macrovirus legfeljebb "50" darab e-mailt küld el.

image Az összeállított e-mail üzenetek felépítése az alábbi:

Feladó

Az e-mail feladója a fertőzött gép levelező klienséhez tartozó e-mail cím.


Tárgy

A levél tárgyában szerepel a(z) Message From szó.


Melléklet

Csatolmányként az aktív dokumentumot/táblát küldi el.


Szöveg

Az e-mail szövege:

This document is very Important and you've GOT to read this !!!


Tevékenységek

Minden vírus, féreg azt csinál, amit akar, illetve amit a programozó beleprogramozott. Egyes vírusok, férgek tevékenységüket (büntető rutinjukat) valamilyen eseményhez, legtöbbször valamilyen időponthoz kötik.

feltétel

működése során

tevékenység

  • módosítja az autoexec.bat fájl tartalmát

  • üzenetablakot jelenít meg

    image
  • a fertőzött dokumentumban különböző alakzatokat hoz létre és különböző színekkel tölti fel

    image
  • a fertőzött számítógépen véletlenszerűen választott állományokat is elküld

feltétel

december 25-én

tevékenység

megformázza a(z) C: meghajtót

image image image image image image image