Virus Melissa

Nos informa McAfee AVERT (Anti Virus Emergency Response Team) la aparición de nuevas variantes del virus Melissa, pero alguna de ellas con efectos peligrosos como el borrado de ficheros y directorios de todas las unidades de disco duro.

Dos nuevos Melissa .u y .v se autopropagan por documentos DOC que son auto enviados a las primeras direcciones de cada una de las listas del OUTLOOK, en documentos DOC anexados al e-mail, luego infectan el NORMAL.DOT y a continuación infectan a todos los documentos que se abran o editen.

El asunto de dichos ficheros infectados que env¡a el ordenador infectado, es "Pictures" para el caso del Melissa.u y de "My Pictures" para el del Melissa.v y el cuerpo del mensaje es "What's up?" para el primero y en blanco para el segundo.

Las consecuencias del Melissa.u son su autoenvio a las 4 primeras direcciones de las listas del Outlook, e intenta inutilizar el sistema con el borrado de varios ficheros, para lo cual primero les quita con el ATTRIB los atributos de system, hidden y Read Only, siendo los ficheros que ataca los siguientes:

C:\command.com D:\command.com

C:\io.sys D:\io.sys

C:\Ntdetect.com D:\Suhglog.dat

C:\Suhdlog.dat

El Melissa.v tiene como consecuencias el autoenvío a las 40 primeras direcciones de las listas del Outlook y el posterior borrado de todos los ficheros y directorios del ROOT, de todas las unidades mapeadas con las siguientes letras:

F:, H:, I:, L:, M:, N:, O:, P:, Q:, S;, X:, Z:

Otra variante del Melissa llega a través de un gusano que se recibe en un fichero de nombre BADASS.EXE y cuya ejecución provoca el autoenv¡o de dicho gusano a las direcciones del Outlook. Simplemente borrando el fichero se elimina el gusano, y, si se ejecuta, se visualiza un texto con una pregunta a la que si se quiere contestar NO el gusano actúa al estilo del conocido joke WinStupid moviendo el NO cuando se le acercar el puntero, siendo imposible alcanzarlo.

Por último la variante .t del Melissa es una modificación del original pero toqueteada con léxico hispano, siendo ello suficiente para no ser controlado por el antivirus, dado que se ha variado la cadena de detección, indicando al final de la macro que lo dedica a ESTA CHICA QUE ESTA SIEMPRE EN MIS PENSAMIENTOS Y EN MI CORAZON, firmando como autores FACE OF EVIL y RET}{@, modificando el autor del documento y poniendo como empresa en la que se ha editado dicho fichero la FACE OF EVIL. En todos los puntos de la macro donde antes indicaba Melissa, en la variante en cuestión ha sido cambiado por This document y por Ret}{@.

Recordemos que el Melissa inicial se autoenviaba a las primeras 50 direcciones de cada lista de direcciones del OUTLOOK, si bien no tenía ninguna otra consecuencia que su progresión y la pérdida de seguridad del documento infectado, que era enviado indiscriminadamente.

Para el control de los nuevos Melissa adjuntamos nuevo EXTRA.DAT que debe copiarse al directorio de trabajo del antivirus y disponer del engine 4035, que se obtiene al ejecutar los actuales SUPERDAT. La detección dentro de los ficheros *.DAT de control de virus vendrá incluida a partir de los DATS 4049 para el próximo mes de Noviembre.

Concretamente, de la variante del melissa con léxico hispano ya hemos detectado en España e-mails infectados, por lo que hay progresión en nuestro pais. Conviene controlar esta nueva variante para evitar su mayor difusión.