x
1

Melissa (informática)



Melissa es un macrovirus que infecta documentos de Microsoft Office. También conocido como W97M, Simpsons (en referencia a los dibujos animados estadounidenses), Kwyjibo o Kwejeebo, (en referencia a Bart Simpson cuando juega a poner esta palabra imaginaria en el Scrabble y debido a que en el código del virus dice ≪written by Kwyjibo≫).

El 26 de marzo de 1999 y en apenas unos días, protagonizó uno de los casos de infección masiva más importantes de la historia de los virus informáticos. De hecho, compañías como Microsoft, Intel o Lucent Technologies tuvieron que bloquear sus conexiones a Internet debido a la acción de Melissa.[1]

Melissa se distribuyó por primera vez en la discusión del grupo de noticias Usenet:alt.sex. El virus estaba dentro de un archivo llamado "List.doc", que decía contener una lista de contraseñas con las que se permitía el acceso a 80 sitios web pornográficos. La forma original del virus fue enviada por e-mail a muchas personas.

Melissa fue creado por David L. Smith de Aberdeen, Nueva Jersey. Él reconoció en su declaración de culpabilidad que el virus Melissa causó más de 80 millones de dólares en daños a las empresas norteamericanas.[2]

El virus lo creó en memoria de una bailarina topless de Florida de la cual se había enamorado. Por ello fue condenado a 10 años de prisión y multado con 5,000 dólares.

Smith posteriormente colaboraría para ayudar al FBI en la búsqueda de Jan de Wit, el creador holandés del virus informático Anna Kournikova.[3]

Melissa se puede propagar en los procesadores de textos Microsoft Word 97 y Word 2000 y Microsoft Excel 97, 2000 y 2003. Se puede enviar así mismo por correo electrónico desde Microsoft Outlook 97 o 98, enviándolo a los primeros 50 contactos de la libreta de direcciones en un email que se envía automáticamente con asunto "Important message from..." y en el cuerpo del mensaje "Here is that document you asked for…don’t show anyone else ;-)". Al abrirse, el virus modificaba el archivo de plantilla por defecto en Word "normal.dot", cambiaba el registro de Windows y se replicaba por correo electrónico.

Es un documento de Word que contiene el virus, que si se descarga y se abre, la macro del documento se ejecuta e inician los intentos de envíos masivos de sí mismo a las 50 personas de la libreta de direcciones del correo electrónico, con ello multiplicándose, y al ser infectado escribe en los documentos que se tengan abiertos:

“Veintidós puntos, más triple puntuación de palabras, más cincuenta puntos por usar todas mis cartas. El juego termina. Me voy de aquí”

Cuando se abre el archivo de Word, se infecta la plantilla de documentos normal.dot, infectando a partir de ello todos los documentos de Word.

Esto ocurre cuando el minutero del reloj coincide con el día del mes. [4][5]

Este es un virus de macros y Gusano de Internet.

Se envía por correo a las primeras 150 direcciones de e-mail, de la agenda del Outlook.

Crea tres archivos en el directorio raíz, el CMOS.COM, FAT32.COM y DRIVES.BAT.

El archivo DRIVES.BAT se ejecuta al reinicio del equipo al correr el AUTOEXEC.BAT, el cual es modificado para ello, e intenta borrar todos los datos en los discos D: y los otros existentes.

El virus cambia la fecha de la computadora.[6]

Si se tienen más de 10 nombres en su libreta de direcciones en el Outlook, el virus se reenviará a sí mismo vía e-mail a un total de 30 o 60 % de estos contactos. Estos mensajes serán enviados aleatoriamente con los atributos de prioridades Baja, Normal o Alta.

Esto puede generar:

¡Hola! Creo que esto solía ser el documento que ha solicitado.

¡Hola! Vaya ... Supongo que esto es el archivo que pidió ".

Adjunto al mensaje se incluye un documento Word infectado.

WM97/Melissa AM también envía información del sistema infectado, incluyendo datos como nombre de usuario, zona horaria, nombre del usuario registrado, etc., a ciertas direcciones de correo electrónico. Se supone que la idea del autor es recabar con esto una base de datos de los usuarios infectados.[7]

En equipos que cuentan con Outlook, enviar e-mail con:

Es una variante que solo tiene activa su parte de gusano. En su código, en el campo de comentario del autor del documento, se lee: No queremos infectar su PC; solo avisarle

Esto podría haber tenido resultados desastrosos. Ten más cuidado la próxima vez que se abre un e-mail. Protéjase a sí mismo! Descubra cómo en estos sitios web: Y anexa algunas ligas a sitios Web.[7]

Esta versión del virus, sortea aleatoriamente el asunto y el mensaje de entre estas ocho posibilidades en Inglés

Si el número de minutos es igual al número de horas, (ejemplos 8:8 A.M., 10:10 A.M.) El virus inserta el texto, en el documento activo:

Todos los imperios caen, sólo tienes que saber dónde presionar.[8]

Variante modificada que emplean capacidades heurísticas, para evitar que los antivirus lo detecten.

Este virus contiene referencias a la elección presidencial del 9 de abril de 2000, en Perú.

Se trata de un virus de MACRO que es capaz de transmitirse por correo electrónico automáticamente de un usuario a otro y que podría transmitir información confidencial desde la computadora infectada sin que se de cuenta el usuario.

Contiene 2 rutinas maliciosas (payloads), dependiendo de si se usa Office 97 o 2000, con lo que desactivará la opción de Seguridad en Macros del menú Herramientas.

Modifica el registro de Windows, de este modo para saber que ya se ha enviado y así no volver a hacerlo en ese equipo. Dicha marca es la entrada:

HKEY_CURRENT_USERSoftwareMicrosoftOffice x?" con valor "y". Elecciones2000 = Pacocha :-P

También modifica la plantilla Normal.DOT, con lo que se infecta a partir de que se guarde el documento en Word.

El correo electrónico tiene el siguiente aspecto:

Me acaban de avisar que ha aparecido un virus que se envía por correo bajo el título de ELECCIONES 2000 ULTIMAS ENCUESTAS DE APOYO. Cuando lo abren se borra el disco duro. Por favor reenvíen este correo a sus amigos para alertarles al respecto. Dígales que los borren sin abrirlos.

Si se tiene abierto un documento y los minutos del reloj más uno coinciden con el día, se inserta un espacio en blanco en el texto en donde esta el cursor.[9]

El "Papa" está basado en el mismo código del "Melissa", infecta únicamente archivos de Excel 97. Utiliza también el Microsoft Outlook para sus envíos.

Sin embargo, por su método de infección, puede considerarse un gusano.

El código de este gusano(worm) contiene un procedimiento que abre e infecta cualquier libro de trabajo de Excel. Utiliza lenguaje Visual Basic, envía sus propias copias vía e-mail, del Outlook, a cada una de las primeras 60 direcciones de la libreta de direcciones:

Al mensaje se adjunta un archivo de Excel infectado.

Aleatoriamente en su número de envíos, el gusano inunda con mensajes el sitio Web de "Fred Cohen & Associates" ó una IP especifica.[10]

Actúa en las versiones Word 97 o Word 2000.

El archivo adjunto: Se descarga como un archivo corrupto o defectuoso por lo que los antivirus lo ignoran y al momento de ser ejecutado lo reacomoda haciéndolo válido.

Al ser abierto, el virus se activa y empieza a borrar archivos importantes de sistema como son: • c: command.com • c: IO.SYS • c: Ntdetect.com • c: Suhdlog.dat • d: command.com • d: IO.SYS • D: Suhdlog.dat

Posteriormente envía automáticamente los correos electrónicos, a través de las listas de direcciones del correo electrónico, de los que reciben el correo infectado.[8]

Esta variante es similar a Melissa.U. Se envía a 40 direcciones de e-mail.

El mensaje está vacío, y (nombre de usuario) se sustituye con el nombre del usuario registrado en Word.

Se eliminarán todos los archivos de la raíz de las diferentes unidades del equipo, Después de que Melissa.V se ha enviado por correo.[7]

Se activa la carga útil a las 10 horas del día 10 de cada mes, cuando el virus inserta el siguiente texto en el documento abierto:

worm! Vamos que nos gusta.



Escribe un comentario o lo que quieras sobre Melissa (informática) (directo, no tienes que registrarte)


Comentarios
(de más nuevos a más antiguos)


Aún no hay comentarios, ¡deja el primero!