Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

このウイルスには1つのマクロautoOpenしか含まれておらず、MS Wordが感染ファイルを開くときにそのファイルを感染させ、そのマクロをグローバル領域（NORMAL.DOT）にコピーします。ウイルスは暗号化されておらず、テキスト文字列をスキャンすることで簡単に検出できます。



RndWorddo

ウズウズド

RndWorddRgV

文書を感染させたり、システムにインストールしたりすると、ウイルスは文書からランダムに選択された単語を取り出し、ランダムに選択された位置に移動させます。このウイルスは、ランダムカウンタに応じて最大3回繰り返します。次にランダムなカウンタに応じて、文書内のランダムに選択された位置に "wazzu"という文字列を挿入します。

詳細：ウイルスにはマクロに3つのサブルーチンがあります。



MAIN  – メインルーチンであり、autoOpen

マクロが実行される

ペイロード –  MAINによって呼び出され、単語を置換して "wazzu"を挿入します。

RndWord  – ペイロードによって呼び出され、ランダムに選択された位置を設定します

文書内

ウイルスは文書を確率（p）で修正します。言葉をp = 1/5で3回置き換え、「wazzu」-p = 1/4を挿入します。

Wazzu関連ウイルス

オリジナルの "Wazzu"（ "Wazzu.a"）ウィルスは、世界で最も広範なウィルスの1つです。考えられる理由は、このウイルスがMicrosoftのWWWサイトに置かれ、感染したドキュメントが複数のCDディスクにも配布されていることです。その結果、数十もの関連ウイルスがあり、そのような関連ウイルスの数は毎月増加しています。ウイルスの名前をCAROの標準名が使用されるように簡単に説明します（AVPはこれらのウイルスの大部分を「Wazzu.a」として検出して駆除します）。

「Wazzu.b、私」はオリジナルのコメントとは、コメント付きでのみ異なります。



< –   –   –   –   –   – ここにペイロード

"Wazzu.c、t、ac"は決して自分自身を明示しません。ペイロードサブルーチンはありません（RndWordサブルーチンはウイルスに感染しますが、呼び出されることはありません）。

"Wazzu.d、f、q、w、ad"にはPayloadとRndWordサブルーチンの両方がありません。「Wazzu.f」は家族内で最も短いウイルスで、そのコード（感染ファイルのバイナリデータ）の長さはわずか318バイトです。

「Wazzu.e、h」は元の「Wazzu」の暗号化された変形です。 "Wazzu.h"が少し壊れていて、MS Wordが停止したり、エラーメッセージが表示されることがあります。

「Wazzu.g、r」は暗号化されたウイルスです。「Wazzu.g」には元のペイロードの代わりにEatThisサブルーチンが含まれています。確率1/10で、これらのウイルスは次のテキストを含むMessageBoxを表示します。



マイクロソフトワード

これはあなたのためのものです、ボスコ。

"Wazzu.k"は "Wazzu.a"に壊れています。

"Wazzu.l"はMAIN以外のマクロにはサブルーチンはありません。確率1/10で、文字列 "wazzu！"を追加します。文書の最後まで

"Wazzu.m、s"にはPayloadサブルーチンはありませんが、呼び出してください。 Wordのエラーメッセージが表示されます。

"Wazzu.u、aa、ad"は "Wazzu.a"と同じですが、 "wazzu"文字列は挿入しません。

"Wazzu.x"にはMAIN以外のサブルーチンは含まれていません。それはテキストを含んでいます：



ミートグラインダーウイルス –  Kermit the Frogのおかげで、

プロトコルのカーミット

"Wazzu.y、z"は "Wazzu.a"と同じですが、これらのコードは若干変更されています。例えば、すべてのTAB（09h）のシンボルは "Wazzu.y"の8つのスペースに置き換えられます。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Virus
プラットフォーム	MSWord
説明	技術的な詳細このウイルスには1つのマクロautoOpenしか含まれておらず、MS Wordが感染ファイルを開くときにそのファイルを感染させ、そのマクロをグローバル領域（NORMAL.DOT）にコピーします。ウイルスは暗号化されておらず、テキスト文字列をスキャンすることで簡単に検出できます。 RndWorddo ウズウズド RndWorddRgV 文書を感染させたり、システムにインストールしたりすると、ウイルスは文書からランダムに選択された単語を取り出し、ランダムに選択された位置に移動させます。このウイルスは、ランダムカウンタに応じて最大3回繰り返します。次にランダムなカウンタに応じて、文書内のランダムに選択された位置に "wazzu"という文字列を挿入します。詳細：ウイルスにはマクロに3つのサブルーチンがあります。 MAIN – メインルーチンであり、autoOpen マクロが実行されるペイロード – MAINによって呼び出され、単語を置換して "wazzu"を挿入します。 RndWord – ペイロードによって呼び出され、ランダムに選択された位置を設定します文書内ウイルスは文書を確率（p）で修正します。言葉をp = 1/5で3回置き換え、「wazzu」-p = 1/4を挿入します。 Wazzu関連ウイルスオリジナルの "Wazzu"（ "Wazzu.a"）ウィルスは、世界で最も広範なウィルスの1つです。考えられる理由は、このウイルスがMicrosoftのWWWサイトに置かれ、感染したドキュメントが複数のCDディスクにも配布されていることです。その結果、数十もの関連ウイルスがあり、そのような関連ウイルスの数は毎月増加しています。ウイルスの名前をCAROの標準名が使用されるように簡単に説明します（AVPはこれらのウイルスの大部分を「Wazzu.a」として検出して駆除します）。「Wazzu.b、私」はオリジナルのコメントとは、コメント付きでのみ異なります。 < – – – – – – ここにペイロード "Wazzu.c、t、ac"は決して自分自身を明示しません。ペイロードサブルーチンはありません（RndWordサブルーチンはウイルスに感染しますが、呼び出されることはありません）。 "Wazzu.d、f、q、w、ad"にはPayloadとRndWordサブルーチンの両方がありません。「Wazzu.f」は家族内で最も短いウイルスで、そのコード（感染ファイルのバイナリデータ）の長さはわずか318バイトです。「Wazzu.e、h」は元の「Wazzu」の暗号化された変形です。 "Wazzu.h"が少し壊れていて、MS Wordが停止したり、エラーメッセージが表示されることがあります。「Wazzu.g、r」は暗号化されたウイルスです。「Wazzu.g」には元のペイロードの代わりにEatThisサブルーチンが含まれています。確率1/10で、これらのウイルスは次のテキストを含むMessageBoxを表示します。マイクロソフトワードこれはあなたのためのものです、ボスコ。 "Wazzu.k"は "Wazzu.a"に壊れています。 "Wazzu.l"はMAIN以外のマクロにはサブルーチンはありません。確率1/10で、文字列 "wazzu！"を追加します。文書の最後まで "Wazzu.m、s"にはPayloadサブルーチンはありませんが、呼び出してください。 Wordのエラーメッセージが表示されます。 "Wazzu.u、aa、ad"は "Wazzu.a"と同じですが、 "wazzu"文字列は挿入しません。 "Wazzu.x"にはMAIN以外のサブルーチンは含まれていません。それはテキストを含んでいます：ミートグラインダーウイルス – Kermit the Frogのおかげで、プロトコルのカーミット "Wazzu.y、z"は "Wazzu.a"と同じですが、これらのコードは若干変更されています。例えば、すべてのTAB（09h）のシンボルは "Wazzu.y"の8つのスペースに置き換えられます。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Virus.MSWord.Wazzu

技術的な詳細

Wazzu関連ウイルス