概述

病毒特点

概述

病毒名称：W97M_MELISSA

别名：MELISSA, W97M/MELISSA , W97M/Melissa@MM

病毒特点

W97M.Melissa.W 是一个典型的宏病毒，它具有不寻常的有效载荷。当用户打开被感染的文档时病毒企图将该文档作为邮件发送给Outlook地址簿中的前50个邮件地址。 该宏病毒使Word的Tools菜单中Macro选项失效。这一点和其他宏病毒很相似。 在Word 97 中隐藏：工具|宏 ，这样能避免用户在Word97 中显示 / VBA 宏模块，因此你只能手工检查是否感染了病毒。

在Word 2000中隐藏：宏|安全，这样防止用户在Word 2000中改变安全级别。 它通过添加一个新的名为Melissa的VBA5（宏）模块来感染Word97和 Word2000文档。尽管该病毒的感染方式不唯一，它还具有另一个机制就是通过MS Outlook 将当前打开的染毒文档作为附件发送出去。 当用户打开或关闭一个染毒文档时，病毒首先会通过下面的注册键值检查是否已经向Outlook的前50个地址发送了邮件：HKEY_CURRENT_USER\\Software\\Microsoft\\Office ， 如果值Melissa? ...by Kwyjibo 存在，表明这台机器已经发送过邮件，这样病毒就不会在重复发送了。

如果该值不存在，病毒将执行下列工作：

1. 打开MS Outlook;

2. 通过MAPI调用，该病毒引发用户的profile来使用MS Outlook;

3. 病毒创建一个新的邮件并发送给地址簿的前50个Email地址。 邮件的主题行为：Important Message From 其中是从用户的Word设置中找到的。 邮件的消息正文为： Here is that document you asked for ... don't show anyone else ;-)

4. 将当前活动文档作为邮件附件。

5. 发送邮件。 另一种感染机制是每隔一小时触发一次，触发的时间与日期相关。例如：在每月的16日，每小时后的第16分钟有效载荷将被触发一次，如果当时正好有一个染毒文档被打开或关闭，则病毒将向文档中插入下列文本： Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here.