ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.MSWord.Wazzu

Classe Virus
Plataforma MSWord
Descrição

Detalhes técnicos

Esse vírus contém apenas uma macro autoOpen e infecta arquivos quando o MS Word os abre e copia suas macros para a área Global (NORMAL.DOT) quando o MS Word abre um documento infectado. O vírus não é criptografado e pode ser facilmente detectado pela verificação de strings de texto:


RndWorddo
wazzu do
RndWorddRgV
Depois de infectar um documento ou instalar no sistema, o vírus pega uma palavra selecionada aleatoriamente do documento e a move para a posição selecionada aleatoriamente. O vírus repete até três vezes, dependendo do contador aleatório. Então, também, dependendo do contador aleatório, insere a string "wazzu" na posição selecionada aleatoriamente no documento.

Em detalhe: o vírus tem três sub-rotinas em sua macro:


MAIN – é a rotina principal e assume o controle quando autoOpen
macro é executada
Payload – é chamado pela MAIN, substitui as palavras e insere "wazzu".
RndWord – é chamado por payload, define a posição selecionada aleatoriamente
dentro do documento
O vírus modifica o documento com as probabilidades (p): substituindo palavras – três vezes com p = 1/5, inserindo "wazzu" – p = 1/4.

Vírus relacionados a Wazzu

O vírus original "Wazzu" ("Wazzu.a") é um dos vírus mais difundidos no mundo. O possível motivo é que esse vírus foi colocado no site da Microsoft, documentos infectados também foram distribuídos em vários discos de CD. Como resultado, há várias dezenas de vírus relacionados, e o número desses vírus está aumentando a cada mês. Abaixo, descrições curtas são dadas, para nomear os vírus Os nomes padrão da CARO são usados ​​(o AVP detecta e desinfecta a maioria desses vírus como "Wazzu.a").

"Wazzu.b, i" difere do original apenas pelo comentário incluído:


<- – – – – – aqui está a carga útil
"Wazzu.c, t, ac" não se manifestam de forma alguma – eles não têm uma sub-rotina Payload (a sub-rotina RndWord é apresentada no vírus, mas nunca é chamada).

"Wazzu.d, f, q, w, ad" não possuem as sub-rotinas Payload e RndWord. "Wazzu.f" é o vírus mais curto da família – seu código (dados binários no arquivo infectado) tem apenas 318 bytes de comprimento.

"Wazzu.e, h" são variantes criptografadas do original "Wazzu". "Wazzu.h" está levemente corrompido e pode interromper o MS Word ou causar uma mensagem de erro.

"Wazzu.g, r" são vírus criptografados. "Wazzu.g" contém a sub-rotina EatThis em vez do Payload original. Com probabilidade 1/10, esses vírus exibem um MessageBox com o texto:


Microsoft Word
Esta é para você, Bosco.
"Wazzu.k" está corrompido "Wazzu.a".

"Wazzu.l" não tem nenhuma sub-rotina em macro, exceto MAIN. Com probabilidade 1/10, acrescenta a string "wazzu!" até o final do documento.

"Wazzu.m, s" não tem sub-rotina Payload, mas chama-o. Isso causará a mensagem de erro do Word.

"Wazzu.u, aa, ad" são os mesmos que "Wazzu.a", mas não insiram a string "wazzu".

"Wazzu.x" não contém nenhuma sub-rotina, exceto MAIN. Contém o texto:


O vírus do Meat Grinder – Graças a Kermit the Frog,
e Kermit o protocolo
"Wazzu.y, z" são o mesmo que "Wazzu.a", mas o código desses vírus é ligeiramente modificado, por exemplo, todos os símbolos TAB (09h) são substituídos por 8 espaços em "Wazzu.y".


Link para o original