Fecha: Martes 30 de Marzo de 1999 08:56

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
--- URGENTE --- PRECAUCIÓN ---
W97M/Melissa: un nuevo y peligroso virus se
propaga por la Red en pocas horas.
________________________________________________________
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Este boletín especial responde a la aparición -hace pocas horas- de un
nuevo (y potencialmente muy peligroso) virus informático denominado
W97M/Melissa.
Como es sabido, a diario se descubren nuevos virus y ello no suele
obligarnos a enviar boletines especiales como este, pero Melissa
parece manifiestar un poder infectivo tan serio que incluso Microsoft
se ha visto obligada a desconectar su propio servidor de correo para
evitar una mayor difusión del virus, que ya parece haber atacado a sus
máquinas y a las de otros gigantes informáticos de la talla de Intel.
En tan sólo pocas horas, ya se estiman en decenas de miles los
ordenadores infectados. No obstante, parece que lo peor está aún por
llegar, dado que se espera que el próximo lunes, cuando las grandes
empresas se pongan a trabajar, puede haber graves caídas por
saturación y denegación de servicio en gran número de servidores de
correo.
Al parecer, Melissa vio la luz en el grupo de news alt.sex, en un
documento (denominado LIST.DOC) que contiene contraseñas de acceso a
sitios de contenido X. Al abrir el fichero con Microsoft Word, se
ejecuta una macro que lo reenvía a otros 50 miembros de la agenda de
contactos de cada usuario, con el propio nombre de éste en el remite y
el mensaje "Here is that document you asked for ... don't show anyone
else ;-)", junto al propio LIST.DOC como fichero adjunto. Al ser
conocido el remitente, el receptor suele abrir el fichero, con lo que
éste se reenvía a otros 50, y así sucesivamente.

Una vez abierto LIST.DOC, modifica el registro y la infección se
propaga a todos los ficheros que se abran bajo Word. Otros efectos de
Melissa se manifiestan cuando los minutos de la hora coinciden con el
día de la fecha (Ej: a las 5:28 del día 28). Si hay un documento
abierto en Word en ese momento, Melissa inserta en él el mensaje
"Twenty-two points, plus triple-word-score, plus fifty points for
using all my letters. Game's over. I'm outta here", junto al alias del
autor del virus ("Kwyjibo"). Estos términos están relacionados con la
serie de televisión "Los Simpsons".

Melissa afecta a entornos Windows y Macintosh, ejecutando Word97 o
Word 2000. Outlook debe estar instalado para que se produzca la
propagación por correo electrónico, aunque no se necesita que el
correo se abra desde Outlook para que exista infección. Como es
lógico, si el ordenador no tiene siquiera acceso a Internet y se ha
infectado por otra vía, sólo resultarán afectados los propios
documentos Word que se abran (como ocurre con los virus de macro al uso).

MÁS INFORMACIÓN
_______________

* El CERT (Centro de Emergencias Informáticas) está distribuyendo
desde primeras horas de la tarde de hoy sábado 27 de Marzo, un boletín

informativo disponible también en:
http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
En este documento, el CERT recomienda a los usuarios desactivar la
ejecución de macros en Word y a los administradores de correo
configurar filtros para contener a Melissa, según se detalla en:
ftp://ftp.cert.org/pub/cert_advisories/Patches/
CA-99-04-sendmail-melissa-filter.txt
* Otras páginas web con información sobre Melissa:
http://www.avertlabs.com/public/datafiles/valerts/vinfo/melissa.asp
http://www.symantec.com/avcenter/venc/data/mailissa.html
http://vil.mcafee.com/vil/vm10120.asp
OTROS CONSEJOS
______________
Rogamos encarecidamente a todos los receptores de este boletín
especial, difundan el mismo por el mayor número de cauces posibles,
para contribuir a prevenir los posibles daños e inconvenientes que se
anuncian.
Mas informacion de....
RAN Security Alert 99-005:
Virus Melissa
BUENOS AIRES, 29 de Marzo de 1999. Se ha detectado un nuevo
peligroso virusde macro, que amenaza en convertirse en el virus de
más rápida difusión entoda la historia de los virus. El virus utiliza
información de los sistemasinfectados, como el nombre del usuario
de email de OutLook para enviar un mensaje personalizado, y usa
como método de acelerar la propia difusión lacuriosidad humana,
ya que informa que el archivo adjunto posee información
confidencial que no debe ser mostrada a terceros.
Antecedentes
Nuestro Laboratorio de Virus comenzó el viernes último a recibir
reportes de incidentes referido a problemas causados por un virus
que se propaga vía email. Durante el día viernes recibimos cinco
reportes, llegando a veinte los reportes producidos en la mañana del
lunes, hasta el momento de escribir el presente reporte.
Luego de realizar contactos con los Laboratorios de McAfee, de
Sophos y Centro de Coordinación CERT, nos encontramos con un
panorama similar en todos ellos, lo que confirma la amplia difusión
mundial de este virus.
El mensaje posee el siguiente Subject: "Important message from <name>"
Dónde <name> es el nombre del usuario que le envía el correo. ¡Y son
usuarios que comúnmente intercambian mails, ya que el segundo pertenece al
directorio de correo de OutLook del primero !
Y por lo general, ningún usuario creería que un conocido puede enviarle un
virus.
A continuación contestamos las preguntas más frecuentes sobre el virus
Melissa:
¿Qué es el virus Melissa?
Melissa pertenece a la familia de virus que utilizan la información del
sistema infectado. El virus utiliza la siguiente información del sistema:
- Nombre Completo del Usuario
- Las bases de direcciones de correo del Microsoft OutLook.
¿Cómo identificar la recepción del virus ?
Cuando un usuario recibe un correo con el siguiente subject:
"Important message from <name>"
significa que el archivo adjunto se encuentra infectado con el virus.
Si editando el Registro de Sistema (System Registry) encuentra la
siguiente
clave:
"HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa?"
(El valor del campo es "... by Kwyjibo")
Significa que ese equipo se encuentra infectado.
¿Cuán común es el virus Melissa ?
En los reportes de nuestro Laboratorio en Buenos Aires, se está
convirtiendo
rápidamente en un virus muy difundido. Según los reportes del Laboratorio
de
Sophos en Inglaterra, es el primer virus que alcanza difusión mundial,
sólo
18 horas después del primer reporte de infección.
Ya que el virus se encuentra en inglés, existen posibilidades de que la
difusión en Argentina sea menor que en países de habla inglesa, aunque
el riesgo para corporaciones multinacionales, donde los mensajes
suelen o pueden ir en inglés, el riesgo es mayor.
¿Porqué se encuentra tan difundido ?
El virus utiliza información real (nombre de usuario que existe) para
enviar correos personalizados. Asimismo utiliza la curiosidad humana,
ya que el texto del mensaje es:
"Here is that document you asked for ... don´t show anyone else ;-)"
Que en español sería:
"Aquí está el documento que Ud. pidio ... no se lo muestre a nadie más"
¿Qué hace el virus Melissa?
El virus tiene una cabeza explosiva que tiene como objetivo difundirse
a otros equipos vía email:
1. El virus envía un correo a los 50 primeros usuarios del correo OutLook.
2. El subject del correo es:
"Important message from <name>
3. El contenido del mensaje es:
"Here is that document you asked for ... don´t show anyone else ;-)"
4. El archivo adjunto es un documento que contiene direcciones
de email de sitios pornográficos.
Para control de si mismo, el propio virus crea una entrada en el
Registro de Sistema, que le permite asegurarse enviar sólo una
vez el mensaje. La clave que inserta en el Resgistro de Sistema es:
"HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa?"
5. El valor del campo es "... by Kwyjibo"
¿Qué ambientes son susceptibles de ser infectados ?
El virus es residente en Office Word, infectando Word 97 y Word 2000.
¿Cuándo y cómo contagia?
El virus infecta el archivo maestro Normal.Dot usando el momento de
apertura del documento(document.open).
¿Qué daño produce?
En el momento en el cual coinciden el día del mes y el minuto. Por
ejemplo,
el 29 de Marzo de 1999 a las 18:29, el virus escribirá en el documento
actual:
"Twenty-two points, plus triple-word-score, plus fifty points for using
all my letters. Game´s over. I´m outta here."
Mensaje que hace referencia al sistema de puntaje del famoso juego de
Scrabbel (veintidos puntos, más triple puntos palabra, más cincuenta
puntos por utilizar todas las letras. Se acabó el partido. Me largo de aquí)..
¿Cuál es la mejor forma de prevenirse ?
La mejor forma de prevenirse contra este virus es:
1. Si se cuenta con un filtrador de mensajes. Se deben filtrar los
mensajes en función del Subject.
2. Consulte con su proveedor de antivirus, para asegurarse que pueda
detectar y eliminar el virus. Los usuarios de McAfee (VirusScan,
NetShield, GroupShield y WebShield) deben descargar la base de datos
4019 que detecta el virus. Los usuarios de Sophos deberán descargar
el archivo Melissa.Ide.
Los usuarios de otros productos deben consultar con su respectivo
proveedor.
3. Si recibe un mensaje conteniendo el virus, realice el correspondiente
reporte a nuestro Laboratorio

Miscelánea
Información del virus Melissa
Fecha de Descubrimiento Marzo de 1999
Origen Estados Unidos
Tipo de Virus Virus Macro infectando Word 97 y Word 2000.
Otros nombres Mailissa
Grado de Riesgo de virus Este virus alcanzó un grado de difusión
mayor que cualquier otro conocido hasta la fecha. Múltiples reportes
en Argentina.
Por lo tanto el riesgo de infección es muy alto.
Carga destructiva directa No posee carga destructiva, excepto el
desprestigio de enviar a nuestros conocidos, clientes y proveedores un
archivo infectado Fecha de Activación No posee.

LA SOLIDARIDAD ES LA UNICA MANERA DE COMBATIR ESTE TIPO DE AGRESIONES
MASIVAS.
REENVIELO A LA MAYOR CANTIDAD DE CONOCIDOS POSIBLE.