Melissa er et makrovirus laget av den amerikanske programmereren David Smith. Spredt den 26. mars 1999 forårsaket det skade for rundt 1,3 milliarder euro [1] og regnes som viruset med den høyeste spredningen noensinne. [2]
Melissa er et makrovirus, det vil si et virus skrevet med et makrospråk , et spesifikt språk som brukes av andre programmer for å lage lister over operasjoner som kan utføres av den aktuelle programvaren. Mer presist ble Melissa skrevet ved hjelp av Visual Basic for Applications (VBA) makrospråk integrert i Microsoft Office . [3]
Infeksjonen påvirker Microsoft Windows 95 , Windows 98 og Windows NT operativsystemer med Microsoft Office 97 eller Microsoft Office 2000 installert . Viruset kommer som et vedlegg til en e -postmelding : vedlegget kalles "LIST.DOC" og inneholder en liste over pornografiske nettsteder med legitimasjon for å få tilgang til det betalte området av det samme. [4] [3] Hvis brukeren åpner vedlegget, kjører systemet viruskoden ved å bruke Office Suite VBA - tolken . Først sjekker viruset om nøkkelen er til stede i loggfilen HKEY_CURRENT_USERSoftwareMicrosoftOffice"Melissa?"="...by Kwyjibo": hvis ikke, deaktiverer det beskyttelsen som forhindrer makrokjøring og endrer deretter "Normal.dot"-filen som brukes av Office som en mal for alle dokumenter skrevet med Microsoft Word , ved å sette inn koden: fra det øyeblikket vil alle filene som er lagret med denne tekstbehandleren bli infisert. [3]
Viruset sjekker deretter om Microsoft Outlook er til stede på systemet : i så fall sender det en kopi av seg selv til de første 50 navnene i kontaktkatalogen. Viruset kan ikke sende e-post hvis Outlook Express er tilstede (til tross for det samme navnet er det to forskjellige programmer). [3]
Melissa kan også legge til tekst i .DOC-dokumenter hvis brukeren bruker Word på et bestemt tidspunkt på dagen, noe som avhenger av dagen i måneden: viruset endrer dokumenter når minuttene stemmer med dagens nummer. For eksempel, hvis det er 11. april og brukeren åpner eller lagrer et dokument med Word i det ellevte minuttet når som helst på den dagen (for eksempel 14:11), introduserer viruset uttrykket " Tjueto poeng pluss trippel -ord-score, pluss femti poeng for å bruke alle bokstavene mine. Spill slutt. I'm outta here », som er en referanse til episoden" Genius Bart "(med tittelen" Genius Bart "på italiensk) av tegneserieserien The Simpson . [3]
Viruset har sett noen varianter dukke opp. Den første ble døpt Melissa.I : sammenlignet med den originale versjonen, som tok navnet Melissa.A , har e-postene den oppretter emnet og teksten til meldingen trukket ut tilfeldig blant en rekke forskjellige elementer. Den bruker også en annen verdi ("empirisk") for registernøkkelen som brukes til å sjekke om infiserte meldinger allerede er sendt. Melissa.I sjekker også om antall minutter i timeplanen samsvarer med timene: i så fall setter hun inn teksten « Alle imperier faller, du må bare vite hvor du skal presse. »I det aktive dokumentet og tilbakestiller deretter registernøkkelen for å tillate at en ny e-post sendes. [5]
Melissa.O sender infiserte e-poster til de første 100 kontaktene i adresseboken. E-posten inneholder emnet « Duhalde President Body: Programa de gobierno 1999 - 2004. ». [5]
Melissa.U er en mer destruktiv variant. Den sender bare e-post til 4 kontakter, men sletter på den annen side noen systemfiler: [5]
Melissa.V ligner på Melissa.U sammenlignet med den skiller seg ut ved at den sender 40 e-poster. Når dette er gjort, sletter den alle filene i rotmappen på diskene som tilsvarer de logiske enhetene M / N / O / P / Q / s / f / I / x / z / H / L og viser deretter en dialogboks som inneholder teksten « Tips: Få Norton 2000 ikke McAfee 4.02 ». [5]
Melissa.W deaktiverer ikke innstillingene knyttet til makrokjøring i Office 2000. Ellers er den identisk med Melissa.A. [5]
Melissa.AO sender en melding med en annen tekst enn Melissa.A og setter inn teksten « Orm! Let's We Enjoy »i dokumentet åpent kl 10 hver dag 10 i måneden. [5]
Viruset ble skrevet av David L. Smith, en tidligere AT&T -programmerer fra Aberdeen, New Jersey ( USA ) og ble kalt Melissa etter en stripper Smith kjente i Miami , Florida . [4] Forfatteren brukte pseudonymet til Kwyjibo for å signere viruset. Melissa ble publisert 26. mars 1999 på alt.sex- nyhetsgruppen gjennom en falsk konto, og derfra spredte den seg på svært kort tid over hele verden, og påvirket hundretusenvis av datamaskiner, slik at innen få timer etter infeksjonen i seg selv Microsoft selv ble hun tvunget til å midlertidig suspendere e-posttjenestene sine for å begrense spredningen av Melissa. [4]
Inntil David Smith ble arrestert var det ikke klart hvem som sto bak viruset: noen dataviruseksperter mente at forfatterne hadde vært VicodinES og ALT-F11 , som allerede hadde skrevet et par makrovirus: de hadde kommet til denne feil konklusjonen ved å analysere Melissas kode og finne samsvar med koden til deres tidligere virus. I tillegg hadde VicodinES tidligere brukt Smiths egen leverandør , Monmouth Internet. Smith ble arrestert omtrent en uke etter Melissas første spredning, mistenkt for å være forfatteren av viruset: arrestasjonen var mulig takket være en felles operasjon mellom FBI og New Jersey State Police med hjelp fra Monmouth Internett-leverandør som ga innloggingene . Etter arrestasjonen lurte mange på om Smith var den eneste forfatteren av Melissas kode og om Smith og VicodinES var samme person. Myndighetene fant imidlertid Smith skyldig i spredning av viruset fordi Melissa ble postet på nyhetsgruppen fra en IP-adresse som ble tildelt ham på tidspunktet for løslatelsen og sendte ham til rettssak. [6]
Greg Miller, en konsulent ved et webprogrammeringsfirma, analyserte koden og fant to forskjellige kodebiter: den første, relatert til den delen av koden som endret Word-dokumenter, ble skrevet av en amatørprogrammerer, mens den andre, den ene relaterte til e-postspredningsmekanismen ble den skrevet av en mye mer erfaren programmerer. Miller pekte imidlertid på Smith som forfatteren av den eneste koden til dokumentendringsmekanismen, en slags kode som ikke er veldig forskjellig fra den som allerede finnes i andre virus i omløp, forutsatt at VicodinES derfor var forfatteren av den farligste delen. I følge Miller, nettopp på grunn av den skriftlige kodens sekundære natur, hadde Smith et mye mindre ansvar enn forfatteren av koden som spredte Melissa, som ifølge ham var den virkelig farlige delen som hadde tillatt Melissa å spre seg i så kort tid. [6]
Den 9. desember ble Smith dømt til 20 måneders fengsel og en bot på 5000 dollar, samt 100 timer sosialt nyttig arbeid som skal sones i 2002 . På tidspunktet for domfellelsen ga loven en høyere straff for Smiths lovbrudd, men dommeren hadde tatt hensyn til at Smith umiddelbart hadde samarbeidet med myndighetene ved å innrømme sin skyld og akseptere, i bytte mot en reduksjon av straffen. , for å gjennomføre et visst antall arbeidstimer på kontorene til FBI selv som virus- og ormeforsker. [4]