病毒名稱
W97M_MELISSA
別名:MELISSA, W97M/MELISSA , W97M/Melissa@MM
病毒特點
W97M.Melissa.W 是一個典型的宏病毒,它具有不尋常的有效載荷。當用戶打開被感染的文檔時病毒企圖將該文檔作為郵件傳送給Outlook地址簿中的前50個郵件地址。該宏病毒使Word的Tools選單中Macro選項失效。這一點和其他宏病毒很相似。 在Word 97 中隱藏:工具|宏 ,這樣能避免用戶在Word97 中顯示 / VBA 宏模組,因此你只能手工檢查是否感染了病毒。在Word 2000中隱藏:宏|安全,這樣防止用戶在Word 2000中改變安全級別。 它通過添加一個新的名為Melissa的VBA5(宏)模組來感染Word97和 Word2000文檔。儘管該病毒的感染方式不唯一,它還具有另一個機制就是通過MS Outlook 將當前打開的染毒文檔作為附屬檔案傳送出去。 當用戶打開或關閉一個染毒文檔時,病毒首先會通過下面的註冊鍵值檢查是否已經向Outlook的前50個地址傳送了郵件:HKEY_CURRENT_USER\Software\Microsoft\Office , 如果值Melissa? ...by Kwyjibo 存在,表明這台機器已經傳送過郵件,這樣病毒就不會在重複傳送了。
如果該值不存在,病毒將執行下列工作:
1. 打開MS Outlook;
2. 通過MAPI調用,該病毒引發用戶的profile來使用MS Outlook;
3. 病毒創建一個新的郵件並傳送給地址簿的前50個Email地址。 郵件的主題行為:Important Message From其中是從用戶的Word設定中找到的。 郵件的訊息正文為: Here is that document you asked for ... don't show anyone else ;-)
4. 將當前活動文檔作為郵件附屬檔案。
5. 傳送郵件。 另一種感染機制是每隔一小時觸發一次,觸發的時間與日期相關。例如:在每月的16日,每小時後的第16分鐘有效載荷將被觸發一次,如果當時正好有一個染毒文檔被打開或關閉,則病毒將向文檔中插入下列文本: Twenty-two points, plus triple-word-score,plus fifty points for using all my letters.Game's over. I'm outta here.