CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.MSWord.Wazzu

Classe Virus
Plateforme MSWord
Description

Détails techniques

Ce virus contient une seule macro autoOpen et infecte les fichiers lorsque MS Word les ouvre et copie ses macros dans la zone Global (NORMAL.DOT) lorsque MS Word ouvre un document infecté. Le virus n'est pas crypté et peut être facilement détecté en recherchant des chaînes de texte:


RndWorddo
wazzu faire
RndWorddRgV
Après avoir infecté un document ou s'être installé dans le système, le virus prend un mot sélectionné au hasard dans le document et le place dans la position sélectionnée au hasard. Le virus répète cela jusqu'à trois fois selon le compteur aléatoire. Ensuite, il dépend également du compteur aléatoire insère la chaîne "wazzu" au hasard de la position sélectionnée dans le document.

En détail: le virus a trois sous-routines dans sa macro:


MAIN – c'est la routine principale et elle prend le contrôle quand autoOpen
la macro est exécutée
Payload – est appelé par MAIN, remplace les mots et insère "wazzu".
RndWord – est appelée par Payload, définit la position sélectionnée au hasard
dans le document
Le virus modifie le document avec les probabilités (p): remplacer les mots – trois fois par p = 1/5, en insérant "wazzu" – p = 1/4.

Virus liés à Wazzu

Le virus original "Wazzu" ("Wazzu.a") est l'un des virus les plus répandus dans le monde. La raison possible est que ce virus a été placé sur le site Microsoft WWW, les documents infectés ont été également distribués sur plusieurs disques CD. En conséquence, il existe plusieurs dizaines de virus apparentés, et le nombre de ces virus apparentés augmente chaque mois. Ci-dessous de brèves descriptions sont données, pour nommer les virus Les noms standard de CARO sont utilisés (AVP détecte et désinfecte la majorité de ces virus comme "Wazzu.a").

"Wazzu.b, je" diffère de l'original seulement par le commentaire inclus:


<- – – – – – voici la charge utile
"Wazzu.c, t, ac" ne se manifeste en aucune façon – ils n'ont pas de sous-programme Payload (le sous-programme RndWord est présent dans le virus, mais n'est jamais appelé).

"Wazzu.d, f, q, w, ad" n'ont pas de sous-routines Payload et RndWord. "Wazzu.f" est le virus le plus court de la famille – son code (données binaires dans un fichier infecté) n'a que 318 octets de longueur.

"Wazzu.e, h" sont des variantes cryptées de l'original "Wazzu". "Wazzu.h" est légèrement corrompu et peut stopper MS Word ou provoquer un message d'erreur.

"Wazzu.g, r" sont des virus cryptés. "Wazzu.g" contient le sous-programme EatThis au lieu de la charge utile originale. Avec une probabilité de 1/10, ces virus affichent un MessageBox avec le texte:


Microsoft Word
Celui-ci est pour toi, Bosco.
"Wazzu.k" est corrompu "Wazzu.a".

"Wazzu.l" n'a pas de sous-routine dans la macro sauf MAIN. Avec une probabilité de 1/10, il ajoute la chaîne "wazzu!" à la fin du document.

"Wazzu.m, s" n'a aucun sous-programme de charge utile, mais l'appelle. Cela provoquera le message d'erreur de Word.

"Wazzu.u, aa, ad" sont les mêmes que "Wazzu.a", mais n'insérez pas la chaîne "wazzu".

"Wazzu.x" ne contient aucun sous-programme sauf MAIN. Il contient le texte:


Le virus Meat Grinder – Merci à Kermit the Frog,
et Kermit le Protocole
"Wazzu.y, z" sont les mêmes que "Wazzu.a", mais le code de ces virus est légèrement modifié, par exemple tous les symboles TAB (09h) sont remplacés par 8 espaces dans "Wazzu.y".


Lien vers l'original