A última hora de ayer, viernes 26, se detectó la propagación de esta peligrosa variante de Melissa, también denominada W97M.Melissa.bg, que borra el directorio raíz de todas las unidades, los archivos de sistema de Windows 9x/NT y la carpeta «My Documents». Viaja en un documento de Word 97 adjunto en un mensaje de correo con el asunto: «Resume – Janet Simons», simulando el envío de un curriculum vitae.
El correo electrónico llega con el remitente de un usuario infectado, dirigido a el usuario que recibe el gusano, el asunto «Resume -Janet Simons», comentado anteriormente, y el siguiente texto en el cuerpo del mensaje:
To: Director of Sales/Marketing,
Attached is my resume with a list of references contained within.
Please feel free to call or email me if you have any further questions regarding my experience.
I am looking forward to hearing from you.
Sincerely,
Janet Simons.
Adjunto al correo viaja el documento de Word 97 infectado, originalmente como RESUME1.DOC, tambi’n se han detectado casos con los nombres de fichero EXPLORER.DOC y NORMAL.DOT. Hay que tener en cuenta que tanto la nomenclatura, como el asunto y cuerpo del mensaje, podr¡an ser f cilmente modificadas, cosa muy probable que ocurra durante la semana a medida que vayan surgiendo variantes del gusano.
El documento de Word infectado contiene dos macros. La primera, Document_Open, que se ejecuta cuando se abre el documento, tiene como misi¢n conectar con Microsoft Outlook para leer la libreta de direcciones y enviar un mensaje para cada uno de los contactos con el mismo contenido -asunto, cuerpo, documento adjunto- que ya hemos comentado.
La otra macro, Document_Close, se ejecuta cuando se cierra el documento, y su fin consiste en crear dos copias del archivo infectado, una en:
«C:WINDOWSStart MenuProgramsStartUpExplorer.doc», que provocar¡a que el documento se abra cada vez que se inicie una sesi¢n en Windows, y otra como «C:DataNormal.dot».
Por oltimo, el gusano lleva a cabo su acci¢n da_ina, que consiste en borrar todos los ficheros del directorio ra¡z de todas las unidades existentes, desde la «A:» a la «Z:, los ficheros de Windows:
«C:WINDOWS*.*»
«C:WINDOWSSYSTEM*.*»
«C:WINNT*.*»
«C:WINNTSYSTEM32*.*»
y la carpeta de documentos de Office por defecto
«C:My Documents*.*»
Todas las trayectorias de los subdirectorios a las que el gusano apunta para realizar las copias de si mismo, y durante la rutina de eliminaci¢n de ficheros, vienen fijas en el c¢digo del gusano, por lo que s¢lo tendr n efecto si existen en el sistema infectado. Una muestra m s de que el nivel t’cnico del gusano, como ocurre en estos casos, es muy bajo, y su poder de expansi¢n se basa m s en la Ingenier¡a Social, en el factor humano, que se deja enga_ar por el texto del mensaje.
De momento «W97M.RESUME.A», alias «W97.Melissa.bg» ha conseguido expandirse entre cientos de sistemas, su incidencia es baja, sobre todo debido a que su propagaci¢n ha comenzado durante el fin de semana y muchos usuarios no recoger n su correo corporativo hasta el lunes. Esperamos que para entonces todos los antivirus hayan suministrado las actualizaciones correspondientes que, junto con la informaci¢n dada, evite una mayor incidencia.
Por oltimo recordar, para aquellos que lleguen a sufrir los efectos del virus, como paso fundamental antes de proceder a la reinstalaci¢n de Windows, la necesidad de eliminar los archivos infectados.
Especialmente el archivo Explorer.doc de la carpeta «C:WINDOWSStart MenuProgramsStartUp». Ya que de otra forma, volver n a sufrir los efectos del virus, tras el primer arranque del sistema una vez reinstalado.
M s informaci¢n:
Symantec:
http://www.symantec.com/avcenter/venc/data/w97m.melissa.bg.html
AVP:
http://www.avp.ch/avpve/macro/word97/melissbg.stm
DataFellows:
http://www.datafellows.com/v-descs/resume.htm
Computer Associates:
http://www.cai.com/press/2000/05/w97m_resume.htm
Bernardo Quintero
bernardo@hispasec.com
