Virus informático Melissa

Revisión del 13:43 23 sep 2011 de Huberney jcmor3.cav (discusión | contribuciones) (Página creada con '{{Ficha Software |nombre=Virus Melissa |imagen=Melissa.jpeg |descripción=Infecta archivos de Word aprovechando su capacidad de ejecutar Scripts de Visual Basic y se autopropag...')
(dif) ← Revisión anterior | Revisión actual (dif) | Revisión siguiente → (dif)
Virus Melissa
Información sobre la plantilla
260px
Infecta archivos de Word aprovechando su capacidad de ejecutar Scripts de Visual Basic y se autopropaga por correo electrónico automáticamente de un usuario a otro
DesarrolladorKwyjibo (alias de su autor)

Virus Melissa. Infecta documentos de Word y se autoenvía mediante correo electrónico a otros usuarios.

Características

El virus se autopropaga por correo electrónico automáticamente de un usuario a otro. Al activarse el virus modifica los documentos del usuario e inserta comentarios de la serie de TV "Los Simpsons". Y lo que es peor, puede enviar información confidencial desde el ordenador sin que lo advierta el usuario.

Funcionamiento

El virus Melissa infecta archivos de Word aprovechando su capacidad de ejecutar Scripts de Visual Basic. Sus acciones principales son las siguientes:

1. Infecta a MS Word y éste a todos los archivos que se abren. 2. Cambia ciertas configuraciones para facilitar la infección. 3. Se auto-envía por correo, como un mensaje proveniente del usuario a las primera 50 buzones de la libreta de direcciones de su correo.

Cuando un documento de Word infectado es abierto, Melissa infecta la plantilla de documentos normal.dot, que es donde se encuentran todos los valores y macros predeterminadas del programa. A partir de este momento todos los archivos serán infectados por el virus. Se distribuyo inicialmente en un grupo de discusión de Internet llamado alt.sex. El virus se envió en un archivo llamado LIST.DOC, que contenía claves de acceso para websites clasificadas X. Cuando el usuario bajaba el archivo y lo abría con Microsoft Word, se ejecutaba una macro en el documento que enviaba el archivo LIST.DOC a 50 personas relacionadas en la agenda del correo electrónico del usuario. El mensaje era: From: (nombre del usuario infectado) Subject: Important Message From (nombre del usuario infectado) To: (50 nombres de la agenda) Here is that document you asked for ... don´t show anyone else;.) Attachement: LIST.DOC

La mayoría de los receptores aceptan abrir el archivo puesto que les llega de alguien conocido.

Después de enviar el documento, el virus continua infectando otros documentos Word a los que accede el usuario. Fortuitamente, estos documentos pueden acabar siendo enviados a otros usuarios, siendo potencialmente desastroso puesto que el usuario puede enviar inadvertidamente información confidencial a externos.

El virus se activa cuando el minuto de las horas coincide con el día del mes - por ejemplo a las 16:27 del día 27. Entonces, el virus insertará en el documento abierto, la siguiente frase: "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here".

Este texto y el alias del autor del virus ("Kwyjibo") hacen referencia a la serie de dibujos animados "Los Simpsons". W97M/Melissa trabaja con Microsoft Word 97, Microsoft Word 2000 y Microsoft Outlook. Puede infectar tanto usuarios Windows como Macintosh. Si el equipo infectado no tiene Outlook o acceso a Internet, el virus continuará propagándose localmente a los documentos que el usuario acceda.

Puntualizaciones sobre el "Melissa"

Existen ciertas confusiones en cuánto al virus Melissa.

El virus no envía páginas ni documentos pornográficos.

La mención a este tema, se debe a que este virus se originó en un newsgroups (alt.sex) en donde apareció un mensaje con un documento de Word adjunto, en el cuál se ofrecía una lista de passwords a sitios pornográficos.

Este documento (infectado con el virus "Melissa"), fue rápidamente bajado por casi todos los usuarios (tal vez cientos o miles), quienes fueron los primeros en infectarse.

Sin saberlo, estos enviaron a cada uno de los 50 primeros usuarios de sus propias libretas de direcciones, 50 nuevos documentos infectados (documentos de su propia computadora, todos ellos personales).

El "Melissa" no causa daños en las computadoras afectadas. La única modificación del registro es para poder efectuar su acción una sola vez (una forma de ocultarse, al contrario del "Papa" que lo hace todas las veces que nos conectamos a Internet), y la inserción de un texto al documento abierto si se dan ciertas condiciones.

Bloqueo de servidores de correo.

También se ha hablado del cierre de servidores de correo, y otros "descalabros" al que se refieren los medios. Esto es cierto, y se debe al volumen de mensajes generados por esta infección.

Un daño parecido pero muy superior al que produce cualquier carta tipo "cadena" (esas que nos piden les enviemos a 5 o 10 conocidos el mismo mensaje para ganar dinero, o participar en alguna tarea solidaria). Es sencillo imaginarlo si comprendemos el concepto de que una persona envie 50 mensajes a otras 50 personas, cada una de las cuáles envía 50 a otras 50.... Y así hasta el infinito (¡y además cada una con archivos adjuntos, con lo que no solo es la cantidad sino el tamaño lo que llega a límites insospechados !). Si toman una calculadora, verán las impresionantes cifras que esto puede llegar a alcanzar.

La prensa ha manejado el tema con cierto sensacionalismo. Hemos visto noticieros de TV que jamás mencionaron el tema de los virus, que han dado alertas como si de una guerra nuclear se tratase. El peligro existe, es cierto -no debemos minimizarlo-, pero recordemos que la principal causa de que se puedan propagar, es nuestra propia conducta. Jamás debemos abrir ni ejecutar nada que no hayamos solicitado. Y siempre debemos revisar cualquier programa, documento o cualquier otro tipo de archivo, antes de abrirlo o ejecutarlo, con por lo menos dos antivirus actualizados.

Mutaciones del "Melissa"

Nombres: Macro.Word97.Melissa.b Macro.Excel97.Papa.a Macro.Excel97.Papa.b

"Melissa.b" es una variante del Melissa, pero solo tiene activa su parte de gusano.

En su código, el área global de macros y todas las rutinas de infección están comentadas (el código existe, pero está comentado con el carácter de "esto es un comentario" del VisualBasic, dejándolo inactivo). En el campo de comentario del autor del documento se lee: We don't want to actually infect the PC, just warn them (No queremos infectar su PC; solo avisarle). El documento infectado se adjunta a un mensaje e-mail con la siguiente información: Asunto: Trust No One

Descontaminación

Antivirus como el Nod32, el Kaspersky y el Panda descontaminan este virus.


Fuentes