Вирус "Мелисса" появился вновь

Вирус "Мелисса", который в апреле пронесся по сетям всего мира, появился вновь, хотя и в несколько ином образе, изменив свой облик, возможно, при самопроизвольном контакте с другим вирусом.

В исходном варианте вирус "Мелисса" засорял сети, тиражируя себя первым 50 абонентам, перечисленным в адресной книге пользователя на инфицированном компьютере. Последняя вариация "Мелиссы" использует макровирус для тиражирования аналогично оригинальному штамму, но теперь меняет расширение файла с .doc на .rtf, что позволяет ей достаточно эффективно защищаться от антивирусных систем, которые анализируют только файлы .doc.

На самом деле вирус не является документом в формате RTF; это просто файл, созданный в редакторе Word и лишь "замаскированный" под RTF. Подобный маневр оправдан, поскольку файлы в формате RTF не могут содержать документы с макрокомандами.

"RTF-файлы не могут содержать макросы, поэтому и не являются носителями макровирусов, - отметил Сэл Виверос из компании Network Associates. - Но в Word вы можете определить для файла любое расширение, поэтому все, что сделал автор мутированного вируса, - это заменил list.doc в 'Мелиссе' на list.rtf"

Вирус "RTF-Мелисса" аналогичен вирусу CAP, который был обнаружен в 1997 году и менял формат .doc на формат .rtf. CAP точно так же добавлялся к списку приложений антивирусной защиты, но сходство этих вирусов (и возможные результаты их наложения) заставило Вивероса предположить, что оба вируса могли объединиться и мутировать естественным образом.

"Могло случиться так, что вирус CAP проник в систему, которая уже была заражена вирусом 'Мелисса', - считает Виверос. - Возможно, при этом у файлов с вирусом изменилось расширение".

Однако узнать, как все было на самом деле, невозможно.

Новая версия вируса "Мелисса" - один из многих вирусов типа copycat, который был обнаружен с момента первого массового проявления этой "инфекции".

Для защиты от мутировавшей "Мелиссы" производители антивирусного ПО рекомендуют пользователям регулярно обновлять антивирусный список и учитывать опасность использования подозрительных макросов, особенно тех, которые напоминают "Мелиссу".

Поделитесь материалом с коллегами и друзьями