Melissa 바이러스

Melissa 바이러스

Melissa 바이러스에는 다음과 같이 두 가지 종류가 있다.

W97M/Melissa.M, W97M/Melissa.U, 

W97M/Melissa.M

네트워크가 연결되었을 때 다른 사람(침입자)이 감염된 시스템의 C드라이브 전체의 읽기/쓰기 권한을 가지게 된다. 

이 바이러스는 외국산 워드 97용 매크로 바이러스이고 감염된 문서가 열리면 먼저 워드 97의 매크로 경고 기능을 무력화한 다음 매크로가 포함된 문서를 열려고 해도 사용자에게 경고를 주지 않게 하고, 이후로 열리는 문서를 감염시킨다. 

이 바이러스는 MS Outlook을 통해 전파되고 문서 제목은 아래 이름 중에서 선택된다.

"Hello!", "Hi,"
"Here", "I think this", "Gee...Guess this"
"is", "used to be", "are"
"that", "the", "your"
"file", "document", ".doc"
"you requested", "they asked"

앞에서 언급했듯이 침입자가 감염된 시스템의 C드라이브 전체에 대한 읽기/쓰기 권한을 가지게 되는데 감염된 시스템의 탐색기에서는 공유 표시가 되지 않기 때문에 사용자가 쉽게 알 수 없다. 이 바이러스에 감염되었다면 침임자가 하드디스크의 내용을 빼내거나 파괴할 수 있기 때문에 레지스트리를 편집해야 한다. 

W97M/Melissa.U

이 바이러스는 M의 경우처럼 아웃룩을 통해 전파된다. 감염된 파일(문서)이 열리면 먼저 워드 97의 매크로 경고 기능을 무력화하여 매크로가 포함된 문서를 열려고 해도 사용자에게 경고를 주지 않고 이후 열리는 문서를 감염시킨다. 

M과 다른 점은 문서가 닫힐 때의 분이 오늘 날짜와 같으면 다음의 시스템 파일들을 삭제한다. 

"C:\COMMAND.COM"
"C:\IO.SYS"
"D:\COMMAND.COM"
"D:\IO.SYS"
"C:\NTDETECT.COM"
"C:\SUHDLOG.DAT"
"D:\SUHDLOG.DAT"

시스템 파일이 삭제되기 때문에 재부팅하면 

"Invalid system disk
Replace the disk, and then press any key"

이라고 뜰 뿐 더 이상 부팅되지 않는다. 

M과 달리 U는 시스템 파일을 삭제하기 때문에 M보다 위험하다고 볼 수 있다.  

언론 보도자료: http://news.grayhash.com/html/category/malware/f84e7557a7.html

출처:

안철수연구소