病毒名称:W97M_MELISSA
别名:MELISSA, W97M/MELISSA , W97M/Melissa@MM
病毒特点:
W97M.Melissa.W
是一个典型的宏病毒,它具有不寻常的有效载荷。当用户打开被感染的文档时病毒企图将该文档作为邮件发送给Outlook地址簿中的前50个邮件地址。
该宏病毒使Word的Tools菜单中Macro选项失效。这一点和其他宏病毒很相似。
在Word 97 中隐藏:工具|宏 ,这样能避免用户在Word97
中显示 / VBA
宏模块,因此你只能手工检查是否感染了病毒。
在Word 2000中隐藏:宏|安全,这样防止用户在Word
2000中改变安全级别。 它通过添加一个新的名为Melissa的VBA5(宏)模块来感染Word97和
Word2000文档。尽管该病毒的感染方式不唯一,它还具有另一个机制就是通过MS
Outlook 将当前打开的染毒文档作为附件发送出去。
当用户打开或关闭一个染毒文档时,病毒首先会通过下面的注册键值检查是否已经向Outlook的前50个地址发送了邮件:HKEY_CURRENT_USER\Software\Microsoft\Office
, 如果值Melissa? ...by Kwyjibo
存在,表明这台机器已经发送过邮件,这样病毒就不会在重复发送了。
如果该值不存在,病毒将执行下列工作:
1. 打开MS Outlook;
2. 通过MAPI调用,该病毒引发用户的profile来使用MS
Outlook;
3. 病毒创建一个新的邮件并发送给地址簿的前50个Email地址。
邮件的主题行为:Important Message From
其中是从用户的Word设置中找到的。
邮件的消息正文为: Here is that document you asked for ...
don't show anyone else ;-)
4. 将当前活动文档作为邮件附件。
5. 发送邮件。
另一种感染机制是每隔一小时触发一次,触发的时间与日期相关。例如:在每月的16日,每小时后的第16分钟有效载荷将被触发一次,如果当时正好有一个染毒文档被打开或关闭,则病毒将向文档中插入下列文本:
Twenty-two points, plus triple-word-score, plus fifty points for
using all my letters. Game's over. I'm outta here.