W97M_MELISSA简介_W97M_MELISSA个人资料_W97M_MELISSA微博_百科网
A-A+

W97M_MELISSA简介_W97M_MELISSA个人资料_W97M_MELISSA微博

2018-03-14 21:01:27 自然百科 阅读 2 次

病毒名称/W97M_MELISSA 编辑

W97M_MELISSA
别名:MELISSA, W97M/MELISSA , W97M/Melissa@MM

 

病毒特点/W97M_MELISSA 编辑

     W97M.Melissa.W 是一个典型的宏病毒,它具有不寻常的有效载荷。当用户打开被感染的文档时病毒企图将该文档作为邮件发送给Outlook地址簿中的前50个邮件地址。  该宏病毒使Word的Tools菜单中Macro选项失效。这一点和其他宏病毒很相似。 在Word 97 中隐藏:工具|宏 ,这样能避免用户在Word97 中显示 / VBA 宏模块,因此你只能手工检查是否感染了病毒。

    在Word 2000中隐藏:宏|安全,这样防止用户在Word 2000中改变安全级别。 它通过添加一个新的名为Melissa的VBA5(宏)模块来感染Word97和 Word2000文档。尽管该病毒的感染方式不唯一,它还具有另一个机制就是通过MS Outlook 将当前打开的染毒文档作为附件发送出去。 当用户打开或关闭一个染毒文档时,病毒首先会通过下面的注册键值检查是否已经向Outlook的前50个地址发送了邮件:HKEY_CURRENT_USERSoftwareMicrosoftOffice , 如果值Melissa? ...by Kwyjibo 存在,表明这台机器已经发送过邮件,这样病毒就不会在重复发送了。  

如果该值不存在,病毒将执行下列工作:

1. 打开MS Outlook;

2. 通过MAPI调用,该病毒引发用户的profile来使用MS Outlook;

3. 病毒创建一个新的邮件并发送给地址簿的前50个Email地址。 邮件的主题行为:Important Message From  其中是从用户的Word设置中找到的。 邮件的消息正文为: Here is that document you asked for ... don't show anyone else ;-)

4. 将当前活动文档作为邮件附件。

5. 发送邮件。     另一种感染机制是每隔一小时触发一次,触发的时间与日期相关。例如:在每月的16日,每小时后的第16分钟有效载荷将被触发一次,如果当时正好有一个染毒文档被打开或关闭,则病毒将向文档中插入下列文本: Twenty-two points, plus triple-word-score,  plus fifty points for using all my letters.  Game's over. I'm outta here.