URGENT VIRUS MELISSA 8/01/02
Fermé
Utilisateur anonyme
-
8 janv. 2002 à 10:27
Mister BeeGee Messages postés 1415 Date d'inscription vendredi 10 août 2001 Statut Membre Dernière intervention 25 mai 2008 - 8 janv. 2002 à 11:35
Mister BeeGee Messages postés 1415 Date d'inscription vendredi 10 août 2001 Statut Membre Dernière intervention 25 mai 2008 - 8 janv. 2002 à 11:35
A voir également:
- URGENT VIRUS MELISSA 8/01/02
- Clé windows 8 - Guide
- Mixcraft 8 - Télécharger - Création musicale
- Internet explorer 8 - Télécharger - Navigateurs
- Sketchup 8 - Télécharger - 3D
- Driver booster 8 - Télécharger - Pilotes & Matériel
1 réponse
Mister BeeGee
Messages postés
1415
Date d'inscription
vendredi 10 août 2001
Statut
Membre
Dernière intervention
25 mai 2008
191
8 janv. 2002 à 11:35
8 janv. 2002 à 11:35
Infos trouvées à : http://aspirine.altasecu.com/control.html?encyclo
W97M/Melissa
Une analyse de François Paget (NAI)
TYPE: Module de classe, Word 97, Word 2000, ver
VARIANTE: W97M/Syndicate
W97M/MELISSA est un macro-virus de type Module de Classe qui est à même de poursuivre sa propagation après une conversion sous WORD2000. En temps que fichier attaché, le virus se propage automatiquement au travers de messages électroniques OUTLOOK-98. Le sujet du message est :
Sujet: Important Message From <nom>
Où <nom> est le nom complet de l'utilisateur qui envoie le message.
A la norme MIME, le corps du message comporte 2 sections. La première est le message (Content-Type: text/plain) avec le texte suivant:
Here is that document you asked for ... don't show anyone else ;-)
Initialement, la seconde section (Content-Type: application/msword) était le document list.doc supposé contenir des informations relatives à des sites pornographiques. En fait, sous certaines conditions, le virus peut générer des attachements avec des documents utilisateurs.
En effet, à l'ouverture de l'attachement avec WORD, l'environnement de l'utilisateur est infecté. Par la suite, il en est de même pour l'ensemble des documents ouverts. A chaque ouverture, le virus crée une routine OUTLOOK qui lit la liste des contacts dans le Carnet d'Adresse Global. Un message est alors créé et envoyé simultanément aux 50 premières personnes de la liste.
W97M/MELISSA vérifie la présence dans la base des registres de l'entrée:
HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa?
Cette entrée doit avoir comme valeur:
"...by Kwyjibo"
Si l'entrée n'existe pas, le virus la crée immédiatement puis s'auto propage comme indiqué ci-dessus. Du fait de cette technique de propagation, le virus ne se propage qu'une fois par session. Si la clé ne peut être créée, le virus se propage à chaque ouverture de document infecté. Si la clé persiste en fin de session, le virus ne se propage plus.
Le virus contient également divers commentaires:
'WORD/Melissa written by Kwyjibo
'Works in both Word 2000 and Word 97
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!
Si un fichier infecté est ouvert quand les minutes de l'heure sont égales au jour du mois le texte suivant est inséré dans le document:
Twenty-two points, plus triple-word-score, plus fifty points for
using all my letters. Game's over. I'm outta here.
Les noms "Kwyjibo" et "Outa" sont des personnages de la série TV "Les Simpsons".
Je vous conseille de lire l'avis émis par le CERT qui contient de très nombreuses informations pertinentes pour se protéger: http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
J'ai écrit les informations ci-dessus le 27 mars 99, depuis cette date, nous sommes aujourd'hui le 1er avril, des variantes de ce virus circulent. De nombreuses sont boguées... Cependant, un virus similaire à MELISSA a été créé sous EXCEL97. Malheureusement, ce dernier fonctionne correctement, il s'agit de X97M/Papa.B
Francois Paget
Senior Virus Research Engineer - AVERT
A Division of NAI Labs
francois_paget@nai.com
A.V.E.R.T. Labs
Variante : W97M.Melissa.I : Les messages envoyés ont au hasard l'une des 8 formes suivantes :
Sujet: Question for you...
It's fairly complicated so I've attached it.
Sujet: Check this!!
This is some wicked stuff!
Sujet: Cool Web Sites
Check out the Attached Document for a list of some of the best Sites on the Web
Sujet: 80mb Free Web Space!
Check out the Attached Document for details on how to obtain the free space. It's cool, I've now got heaps of room.
Sujet: Cheap Software
The attached document contains a list of web sites where you can obtain Cheap Software
Sujet: Cheap Hardware
I've attached a list of web sites where you can obtain Cheap Hardware"
Sujet: Free Music
Here is a list of places where you can obtain Free Music.
Sujet: * Free Downloads
Here is a list of sites where you can obtain Free Downloads.
Dans le dernier sujet, l'astérisque remplace un caractère aléatoire.
La clé insérée dans la base de registres s'appelle Empirical.
Si le nombre de minutes est égal au nombre d'heures, Melissa.I insère le texte All empires fall, you just have to know where to push. dans le document actif. La clé est effacée de la base de registres, ce qui redéclenche l'envoi de courriers dès qu'un document est créé, ouvert ou fermé, ou que Word est redémarré.
Les sites INDISPENSABLES à connaître :
Pour connaître les alertes ou en cas de soupçon d'infection : http://www.secuser.com/alertes/index.htm
Pour les FAUX VIRUS (canulars ou hoax) : http://www.hoaxbuster.com/hliste/liste1.html
Encyclopédie des virus à : http://aspirine.altasecu.com/control.html?encyclo
W97M/Melissa
Une analyse de François Paget (NAI)
TYPE: Module de classe, Word 97, Word 2000, ver
VARIANTE: W97M/Syndicate
W97M/MELISSA est un macro-virus de type Module de Classe qui est à même de poursuivre sa propagation après une conversion sous WORD2000. En temps que fichier attaché, le virus se propage automatiquement au travers de messages électroniques OUTLOOK-98. Le sujet du message est :
Sujet: Important Message From <nom>
Où <nom> est le nom complet de l'utilisateur qui envoie le message.
A la norme MIME, le corps du message comporte 2 sections. La première est le message (Content-Type: text/plain) avec le texte suivant:
Here is that document you asked for ... don't show anyone else ;-)
Initialement, la seconde section (Content-Type: application/msword) était le document list.doc supposé contenir des informations relatives à des sites pornographiques. En fait, sous certaines conditions, le virus peut générer des attachements avec des documents utilisateurs.
En effet, à l'ouverture de l'attachement avec WORD, l'environnement de l'utilisateur est infecté. Par la suite, il en est de même pour l'ensemble des documents ouverts. A chaque ouverture, le virus crée une routine OUTLOOK qui lit la liste des contacts dans le Carnet d'Adresse Global. Un message est alors créé et envoyé simultanément aux 50 premières personnes de la liste.
W97M/MELISSA vérifie la présence dans la base des registres de l'entrée:
HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa?
Cette entrée doit avoir comme valeur:
"...by Kwyjibo"
Si l'entrée n'existe pas, le virus la crée immédiatement puis s'auto propage comme indiqué ci-dessus. Du fait de cette technique de propagation, le virus ne se propage qu'une fois par session. Si la clé ne peut être créée, le virus se propage à chaque ouverture de document infecté. Si la clé persiste en fin de session, le virus ne se propage plus.
Le virus contient également divers commentaires:
'WORD/Melissa written by Kwyjibo
'Works in both Word 2000 and Word 97
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!
Si un fichier infecté est ouvert quand les minutes de l'heure sont égales au jour du mois le texte suivant est inséré dans le document:
Twenty-two points, plus triple-word-score, plus fifty points for
using all my letters. Game's over. I'm outta here.
Les noms "Kwyjibo" et "Outa" sont des personnages de la série TV "Les Simpsons".
Je vous conseille de lire l'avis émis par le CERT qui contient de très nombreuses informations pertinentes pour se protéger: http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
J'ai écrit les informations ci-dessus le 27 mars 99, depuis cette date, nous sommes aujourd'hui le 1er avril, des variantes de ce virus circulent. De nombreuses sont boguées... Cependant, un virus similaire à MELISSA a été créé sous EXCEL97. Malheureusement, ce dernier fonctionne correctement, il s'agit de X97M/Papa.B
Francois Paget
Senior Virus Research Engineer - AVERT
A Division of NAI Labs
francois_paget@nai.com
A.V.E.R.T. Labs
Variante : W97M.Melissa.I : Les messages envoyés ont au hasard l'une des 8 formes suivantes :
Sujet: Question for you...
It's fairly complicated so I've attached it.
Sujet: Check this!!
This is some wicked stuff!
Sujet: Cool Web Sites
Check out the Attached Document for a list of some of the best Sites on the Web
Sujet: 80mb Free Web Space!
Check out the Attached Document for details on how to obtain the free space. It's cool, I've now got heaps of room.
Sujet: Cheap Software
The attached document contains a list of web sites where you can obtain Cheap Software
Sujet: Cheap Hardware
I've attached a list of web sites where you can obtain Cheap Hardware"
Sujet: Free Music
Here is a list of places where you can obtain Free Music.
Sujet: * Free Downloads
Here is a list of sites where you can obtain Free Downloads.
Dans le dernier sujet, l'astérisque remplace un caractère aléatoire.
La clé insérée dans la base de registres s'appelle Empirical.
Si le nombre de minutes est égal au nombre d'heures, Melissa.I insère le texte All empires fall, you just have to know where to push. dans le document actif. La clé est effacée de la base de registres, ce qui redéclenche l'envoi de courriers dès qu'un document est créé, ouvert ou fermé, ou que Word est redémarré.
Les sites INDISPENSABLES à connaître :
Pour connaître les alertes ou en cas de soupçon d'infection : http://www.secuser.com/alertes/index.htm
Pour les FAUX VIRUS (canulars ou hoax) : http://www.hoaxbuster.com/hliste/liste1.html
Encyclopédie des virus à : http://aspirine.altasecu.com/control.html?encyclo
