home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / melissa.txt < prev    next >
Encoding:
Text File  |  1999-04-11  |  13.3 KB  |  276 lines
  1. http://www.melissavirus.com/ 
  2. ----------------------------------------------------------------- Date: Mon, 5 
  3. Apr 1999 05:01:14 -0700 From: secedu@all.net Subject: Information Security 
  4. Educators Mailing List 1999-03-30 
  5. ---------------------------------------------
  6. >From: "Rob Slade, doting grandpa of Ryan and Trevor" 
  7. Date: Tue, 30 Mar 1999 16:51:23 -0800
  8.  
  9. The Melissa macro virus
  10. A report prepared by Robert M. Slade
  11.  
  12.  
  13. The following is an attempt to bring together the information about
  14. the Melissa virus.  It is taken from the most reliable available
  15. sources.  Additional sites have been listed at the end of the article. 
  16. I have not added a copyright line to this message in order to allow it
  17. to be used as needed.  I will be posting the latest updated version of
  18. this article at http://sun.soci.niu.edu/~rslade/melissa.txt and
  19. http://victoria.tc.ca/techrev/melissa.txt.
  20.  
  21.  
  22. The virus, generally referred to as W97M.Melissa.A (with some
  23. variations: Symantec, in a rather strained effort to be cute, seems to
  24. be calling it "Mailissa"), is a MS Word macro virus.  This means that,
  25. if you don't use Word, you are safe.  Completely safe.  (Except for
  26. being dependent upon other people who might slow their/your mail
  27. server down.  More on that later.)  If you need to look at MS Word
  28. documents, there is a document viewer available (free, as it happens)
  29. >from Microsoft.  This viewer will not execute macros, so it is safe
  30. >from infection.
  31.  
  32. In the messages about Melissa, there have been many references to the
  33. mythical and non-existent "Good Times" virus.  Note that simply
  34. reading the text of a message still cannot infect you.  However, note
  35. also that many mailers, in the name of convenience, are becoming more
  36. and more automated, and much of this automation concerns running
  37. attached files for you.  As Padgett Peterson, author of one of the
  38. best macro virus protection tools, has stated, "For years we have been
  39. saying you could not get a virus just by "opening E-Mail.  That bug is
  40. being fixed."
  41.  
  42. Melissa does not carry any specifically damaging payload.  If the
  43. message is triggered there will be text added to the active document. 
  44. The mailout function can cause a large number of messages to be
  45. generated very quickly, and this has caused the shutdown of a number
  46. of corporate mail servers.
  47.  
  48. If you have Word set with macros disabled, then the virus will not
  49. active.  However, relying on this protection is a very dangerous
  50. proposition.  Previous macro viruses have also killed macro protection
  51. in Word, and this one does as well.
  52.  
  53. The name "Melissa" comes from the class module that contains the
  54. virus.  The name is also used in the registry flag set by the virus.
  55.  
  56. The virus is spread, of course, by infected Word documents.  What has
  57. made it the "bug du jour" is that it spreads *itself* via email.  We
  58. have known about viruses being spread as attachments to email for a
  59. long time, and have been warning people not to execute attachments (or
  60. read Word documents sent as attachments) if you don't know where they
  61. came from.  Happy99 is a good example: it has spread very widely in
  62. the past month by sending itself out as an email attachment whenever
  63. it infects a system.
  64.  
  65. Melissa was originally posted to the alt.sex newsgroup.  At that time
  66. it was LIST.DOC, and purported to be a list of passwords for sex
  67. sites.  I have seen at least one message theorizing that Melissa is
  68. someone's ill-conceived punishment for viewers of pornography.  This
  69. hypothesis is extremely unlikely.  Sending a virus to a sex related
  70. newsgroup seems to be a reliable way to ensure that a number of stupid
  71. people will read and/or execute your program, and start your new virus
  72. off with a bang.  (No pun intended.)
  73.  
  74. If you get a message with a Melissa infected document, and do whatever
  75. you need to do to "invoke" the attachment, and have Word on your
  76. system as the default program for .doc files, Word starts up, reads in
  77. the document, and the macro is ready to start.  If you have Word's
  78. "macro security" enabled (which is not the default) it will tell you
  79. that there is a macro in the document.  Few people understand the
  80. import of the warning, and there is no distinction between legitimate
  81. macros and macro viruses.
  82.  
  83. Because of a technical different between normal macros and "VBA
  84. objects," if you ask for a list of the macros in the document, Melissa
  85. will not show up.  It will be visible if you use the Visual Basic
  86. Editor, but only after you have loaded the infected file.
  87.  
  88. Assuming that the macro starts executing, several things happen.
  89.  
  90. The virus first checks to see if Word 97 (Word 8) or Word 2000 (Word
  91. 9) is running.  If so, it reduces the level of the security warnings
  92. on Word so that you will receive no future warnings.  In Word97, the
  93. virus disables the Tools/Macro menu commands, the Confirm Conversions
  94. option, the MS Word macro virus protection, and the Save Normal
  95. Template prompt.  It "upconverts" to Word 2000 quite nicely, and there
  96. disables the Tools/Macro/Security menu.
  97.  
  98. Specifically, under Word 97 it blocks access to the Tools|Macro menu
  99. item, meaning you cannot check any macros.  It also turns off the
  100. warnings for conversion, macro detection, and to save modifications to
  101. the NORMAL.DOT file.  Under Word 2000 it blocks access to the menu
  102. item that allows you to raise your security level, and sets your macro
  103. virus detection to the lowest level, that is, none.  (Since the access
  104. to the macro security menu item is blocked, I do not know how this
  105. feature can be reversed, other than programmatically or by
  106. reinstallation.)
  107.  
  108. After this, the virus checks for the
  109. HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa?\ registry key
  110. with a value of "... by Kwyjibo".  (The "kwyjibo" entry seems to be a
  111. reference to the "Bart the Genius" episode of the "Simpsons"
  112. television program where this word was used to win a Scrabble match.)
  113.  
  114. If this is the first time you have been infected (and this "first
  115. time" business is slightly complicated), then the macro starts up
  116. Outlook, in the background, and sends itself as an attachment to the
  117. "top" 50 names in *each* of your address lists.  (Melissa will *not*
  118. use Outlook Express.)  Most people have only one (the default is
  119. "Contacts"), but if you have more than one then Outlook will send more
  120. than 50 copies of the message.  Outlook also sorts address lists such
  121. that mailing lists are at the top of the list, so this can get a much
  122. wider dispersal than just fifty copies of the message/virus.  There
  123. was also a mention on one message about MAPI and Exchange servers,
  124. which may give access to a very large number of mailing lists.  From
  125. other reports, though, people who use Exchange mail server are being
  126. particularly hard hit.  Then again, people who use Exchange are
  127. probably also standardized on Word and Outlook.
  128.  
  129. Some have suggested setting this registry key as a preventative
  130. measure, but note that it only prevents the mailout.  It does not
  131. prevent infection.  If you are infected, and the registry key is
  132. removed at a later date, then a mailout will be triggered the next
  133. time an infected document is read.
  134.  
  135. Once the messages have been sent, the virus sets the Melissa flag in
  136. the registry, and looks for it to check whether or not to send itself
  137. out on subsequent infections.  If the flag does not persist, then
  138. there will be subsequent mass mailings.  Because the key is set in
  139. HKEY_CURRENT_USER, system administrators may have set permissions such
  140. that changes made are not saved, and thus the key will not persist. 
  141. In addition, multiple users on the same machine will likely each
  142. trigger a separate mailout, and the probability of cross infection on
  143. a common machine is very high.
  144.  
  145. Since it is a macro virus, it will infect your NORMAL.DOT, and will
  146. infect all documents thereafter.  The macro within NORMAL.DOT is
  147. "Document_Close()" so that any document that is worked on will be
  148. infected when it is closed.  When a document is infected the macro
  149. inserted is "Document_Open()" so that the macro runs when the document
  150. is opened.
  151.  
  152. Note that *not* using Outlook does not protect you from the virus, it
  153. only means that the 50 copies will not be automatically sent out.  If
  154. you use Word but not Outlook, you will still be infected, and may
  155. still send out infected documents on your own.  The virus also will
  156. not invoke the mailout on Mac systems, but definitely can be stored
  157. and resent from Macs.  At this time I do not have reliable information
  158. about whether it can reproduce on Macs (there is one report that it
  159. does), but the likelihood is that it can.
  160.  
  161. Vesselin Bontchev has noted that the virus never explicitly terminates
  162. the Outlook program.  It is possible that multiple copies may be
  163. invoked, and may create memory problems.  However, this has not been
  164. confirmed, and is not probable given the "first time" flag that is
  165. set.
  166.  
  167. The message appears to come from the person just infected, of course,
  168. since it really is sent from that machine.  This means that when you
  169. get an "infected" message it will probably appear to come from someone
  170. you know and deal with.  The subject line is "Important Message From:
  171. [name of sender]" with the name taken from the registration settings
  172. in Word.  The test of the body states "Here is that document you asked
  173. for ... don't show anyone else ;-)".  Thus, the message is easily
  174. identifiable: that subject line, the very brief message, and an
  175. attached Word document (file with a .doc extension to the filename). 
  176. If you receive a message of this form *DO NOT OPEN THE DOCUMENT WITH
  177. WORD!*  If you do not have alternate means or competent virus
  178. assistance, the best recourse is to delete the message, and
  179. attachment, and to send a message to the sender alerting them to the
  180. fact that they are, very likely, infected.  Please note all the
  181. specifics in this paragraph, and do not start a panic by sending
  182. warnings to everyone who sends you any message with an attachment.
  183.  
  184. However, please also note that, as with any Word macro virus, the
  185. source code travels with the infection, and it will be very easy to
  186. create modifications to Melissa.  (The source code has already been
  187. posted to one Web site.)  We will, no doubt very soon, start seeing
  188. many Melissa variants with different subjects and messages.  There is
  189. already one similar Excel macro virus, called "Papa."  The virus
  190. contains the text "Fred Cohen" and "all.net," leading one rather
  191. ignorant reporter to assume that Fred was the author.  Dr. Cohen was
  192. the first person to do formal research into viral programs.
  193.  
  194. There is a message that is displayed approximately one time in sixty. 
  195. The exact trigger is if the current system time minute field matches
  196. the current system time day of the month field when the virus is run. 
  197. In that case, you will "Twenty-two points, plus triple-word-score,
  198. plus fifty points for using all my letters.  Game's over. I'm outta
  199. here." typed into your document.  (This is another reference to the
  200. "Simpsons" episode referred to earlier.)
  201.  
  202. One rather important point: the document passed is the active
  203. document, not necessarily the original posted on alt.sex.  So, for
  204. example, if I am infected, and prepare some confidential information
  205. for you in Word, and send you an attachment with the Word document,
  206. containing sensitive information that neither you nor I want made
  207. public (say, the fact that Bill Gates is a jerk for having designed
  208. the technology this way), and you read it in Word, and you have
  209. Outlook on your machine, then that document will be mailed out to the
  210. top 50 people in your address book.
  211.  
  212. Rather ironically, a clue to the identity of the perpetrator may have
  213. come from the identification number embedding scheme recently admitted
  214. by Microsoft as having been included with Office and Windows 98.
  215.  
  216. A number of fixes for mail servers and mail filtering systems have
  217. been devised very quickly.  However, note that not all of these have
  218. fully tested or debugged.  One version that I saw would trap most of
  219. the warning messages about Melissa.
  220.  
  221. Note that any Word document can be infected, and that an infected user
  222. may unintentionally send you an infected document.  All Word
  223. documents, and indeed all Office files, should be checked for
  224. infection before you load them.
  225.  
  226.  
  227. Information and antiviral updates (some URLs are wrapped):
  228.  
  229. http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
  230.  
  231. http://www.ciac.org/ciac/bulletins/j-037.shtml
  232.  
  233. ftp://ftp.complex.is/pub/macrdef2.zip
  234.  
  235. http://www.complex.is/f-prot/f-prot.html
  236.  
  237. http://chkpt.zdnet.com/chkpt/hud0007500a/www.zdnet.com/zdnn/stories/
  238. news/0,4586,2233030,00.html
  239.  
  240. http://www.zdnet.com/zdnn/special/melissavirus.html
  241.  
  242. http://www.symantec.com/techsupp/mailissa.html 
  243.  
  244. http://www.antivirus.com/vinfo/security/sa032699.htm
  245.  
  246. http://www.avp.com/melissa/melissa.html
  247.  
  248. http://www.microsoft.com/security/bulletins/ms99-002.asp
  249.  
  250. http://www.sendmail.com/blockmelissa.html
  251.  
  252. ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-security.html
  253.  
  254. http://www.innosoft.com/iii/pmdf/virus-word-emergency.html
  255.  
  256. http://www.sophos.com/downloads/ide/index.html#melissa 
  257.  
  258. http://www.avertlabs.com/public/datafiles/valerts/vinfo/melissa.asp
  259.  
  260. http://www.pcworld.com/cgi-bin/pcwtoday?ID=10302
  261.  
  262. http://www.internetnews.com/bus-news/article/0,1087,3_89011,00.html
  263.  
  264. http://cnn.com/TECH/computing/9903/29/melissa.copycat.idg/
  265.  
  266. http://www.pcworld.com/cgi-bin/pcwtoday?ID=10308
  267.  
  268.  
  269. ======================  (quote inserted randomly by Pegasus Mailer)
  270. rslade@vcn.bc.ca  rslade@sprint.ca  robertslade@usa.net  p1@canada.com
  271.  AV tutorial   : http://victoria.tc.ca/techrev/mnvrcv.htm
  272. http://victoria.tc.ca/techrev    or    http://sun.soci.niu.edu/~rslade
  273. ---------------------------------------------
  274.  
  275.  
  276.