ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.MSWord.Wazzu

Clase Virus
Plataforma MSWord
Descripción

Detalles técnicos

Este virus contiene solo una macro autoOpen e infecta los archivos cuando MS Word los abre y copia sus macros al área Global (NORMAL.DOT) cuando MS Word abre un documento infectado. El virus no está encriptado y puede detectarse fácilmente escaneando cadenas de texto:


RndWorddo
hacer wazzu
RndWorddRgV
Después de infectar un documento o instalarlo en el sistema, el virus toma una palabra seleccionada aleatoriamente del documento y la mueve a la posición seleccionada al azar. El virus lo repite hasta tres veces según el contador aleatorio. Luego, también, dependiendo del contador aleatorio, inserta la cadena "wazzu" en la posición seleccionada al azar dentro del documento.

En detalle: el virus tiene tres subrutinas en su macro:


PRINCIPAL: es la rutina principal y toma el control cuando se abre automáticamente
macro se ejecuta
Payload – es llamado por MAIN, reemplaza palabras e inserta "wazzu".
RndWord – es llamado por Payload, establece la posición seleccionada al azar
dentro del documento
El virus modifica el documento con las probabilidades (p): reemplazando palabras – tres veces con p = 1/5, insertando "wazzu" – p = 1/4.

Virus relacionados con Wazzu

El virus original "Wazzu" ("Wazzu.a") es uno de los virus más extendidos en el mundo. La posible razón es que este virus se colocó en el sitio web de Microsoft, los documentos infectados también se distribuyeron en varios discos CD. Como resultado, hay varias docenas de virus relacionados, y la cantidad de virus relacionados aumenta cada mes. A continuación se incluyen descripciones breves, para nombrar virus, se usan los nombres CARO estándar (AVP detecta y desinfecta la mayoría de estos virus como "Wazzu.a").

"Wazzu.b, i" difiere del original solo por comentario incluido:


<- – – – – – aquí está la carga útil
"Wazzu.c, t, ac" no se manifiestan de ninguna manera: no tienen subrutina de carga útil (la subrutina RndWord se presenta en el virus, pero nunca se llama).

"Wazzu.d, f, q, w, ad" no tienen ambas subrutinas Payload y RndWord. "Wazzu.f" es el virus más corto de la familia: su código (datos binarios en un archivo infectado) tiene solo 318 bytes de longitud.

"Wazzu.e, h" son variantes encriptadas de "Wazzu" original. "Wazzu.h" está ligeramente dañado y puede detener MS Word o provocar un mensaje de error.

"Wazzu.g, r" son virus cifrados. "Wazzu.g" contiene la subrutina EatThis en lugar de la carga útil original. Con probabilidad 1/10, estos virus muestran un MessageBox con el texto:


Microsoft Word
Este es para ti, Bosco.
"Wazzu.k" está dañado "Wazzu.a".

"Wazzu.l" no tiene ninguna subrutina en macro excepto PRINCIPAL. Con probabilidad 1/10, agrega la cadena "wazzu!" hasta el final del documento.

"Wazzu.m, s" no tienen subrutina de carga útil, pero llámalo. Eso causará el mensaje de error de Word.

"Wazzu.u, aa, ad" son lo mismo que "Wazzu.a", pero no inserte la cadena "wazzu".

"Wazzu.x" no contiene ninguna subrutina excepto PRINCIPAL. Contiene el texto:


El virus Meat Grinder – Gracias a Kermit the Frog,
y Kermit el Protocolo
"Wazzu.y, z" son lo mismo que "Wazzu.a", pero el código de estos virus se modifica ligeramente, por ejemplo, todos los símbolos TAB (09h) se reemplazan por 8 espacios en "Wazzu.y".


Enlace al original