Крупные корпорации пользовавшиеся услугами электронной почтыВ крупных корпорациях, пользовавшихся услугами электронной почты, были внедрены системы автоматизации документооборота — приходящие письма «прочитывались», анализировались и рассылались по отделам без участия человека. Все такие системы немедленно заразились и стали источниками сотен тысяч и миллионов вирусных рассылок. В почтовые ящики рядовых пользователей письма с зараженными документами «сыпались» непрерывно. Офисы Microsoft, Intel и Lockheed вынуждены были отключить свои системы автоматического документооборота. «Острую фазу» мировой эпидемии вируса Macro. Word97.Melissa удалось обуздать примерно через неделю после ее начала, но «болезнетворные» письма продолжали рассылаться с зараженных компьютеров «мелкими партиями» еще очень долго — больше года. Автора вируса, подписавшегося в тексте макровируса псевдонимом «Qwyjibo», нашли быстро. Он не учел, что в заголовке структурированного хранилища сохраняется GUID машины, автоматически сгенерированный на основании уникального MAC-адреса сетевой карты. Спецслужбы провели массовое сканирование всех DOC-файлов, хранящихся в Интернете на многочисленных хакерских сайтах, и обнаружили по крайней мере два «прототипа» вируса Macro. Word97. Melissa, имеющих аналогичный GUID и подписанных псевдонимами «VicodinEs» и «Alt-F11». После этого поимка автора сложностей не вызвала. Им оказался 30-летний Дэвид Ли Смит из Нью-Джерси. «Злодея» осудили на 10 лет лишения свободы, но выпустили «за примерное поведение» уже через 20 месяцев.

Как же сумел весьма примитивный макровирус Macro. Word97. Melissa добиться столь впечатляющего эффекта? Он состоит всего из одного макроса «Document_Open», написанного на языке VBA. Как и любой «нормальный» макровирус, Macro. Word97.Melissa, стартовав из зараженного документа, записывается в «NORMAL.

DOT». И наоборот, стартовав из глобального шаблона, помещает себя во все открываемые документы. Делает он это все тоже довольно традиционно — при помощи метода «InsertLines», принадлежащего свойству «CodeModule» объекта «VBProject». Казалось бы, довольно обыкновенный, ничем не примечательный макровирус. Самая «интересная» часть вируса заключена в следующих немногочисленных строках:

Еще интересные статьи :