Virus.MSWord.Wazzu

Класс Virus
Платформа MSWord
Описание

Technical Details

Содержит единственный макрос — autoOpen. Заражает документы при их открытии
и записывается в системную область Word (NORMAL.DOT) при открытии
зараженного документа. Вирус незашифрован и легко может быть обнаружен по
текстовым строкам внутри зараженного файла:

RndWorddo
wazzu do
RndWorddRgV

После заражения очередного документа или после инсталляции в систему вирус
перемещает случайно выбранное слово внутри документа — выбирает два
случайных адреса в зараженном документе, удаляет слово по первому адресу и
вставляет его по второму адресу. Вирус повторяет эту процедуру до трех раз
в зависимости от случайного счетчика. Затем вирус, также в зависимости от
случайного счетчика, вставляет в случайную позицию внутри документа строку
«wazzu «.
Более подробно — в единственном макросе вируса содержится три подпрограммы:

MAIN -    основная подпрограмма, вызываемая системой при запуске 
          макроса autoOpen
Payload - вызывается подпрограммой MAIN, перемещает слова и 
          вставляет "wazzu".
RndWord - вызывается подпрограммой Payload, выбирает в документе 
          случайный адрес (позицию).

Вирус модифицирует документ в зависимости от системного счетчика случайных
чисел: перемещает три слова — каждое с вероятностью 1/5, вставляет «wazzu»
— с вероятностью 1/4.

Родственные вирусы

Вирус «Wazzu» является одним из наиболее широко распространенных в мире
вирусов. Возможно, что причиной этому послужили несколько инцидентов —
зараженный файл довольно длительное время находился на WWW-странице
Microsoft, а несколько зараженных документов были случайно растиражированы
на CD-дисках.
В результате количество родственных «Wazzu» вирусов постоянно растет и уже
перевалило за три десятка. Ниже даны описания их отличий от оригинально
«Wazzu» («Wazzu.a»), имена вирусов даны по стандарту CARO (AVP детектирует
и лечит большую часть этих вирусов как «Wazzu.a»).
«Wazzu.b,i» отличаются от оригинала строкой-комментарием:

< - - - - - - here 's the payload

"Wazzu.c,t,ac" никак не проявляются - не имеют подпрограммы Payload
(но содержат подпрограмму RndWord. Естественно, что обращения к ней
отсутствуют).
"Wazzu.d,f,q,w,ad" не имеют ни Payload, ни RndWord. "Wazzu.f" - самый
короткий представитель семейства - его двоичный образ занимает всего 318
байт.
"Wazzu.e,h" - зашифрованные "Wazzu.a". "Wazzu.h" слегка испорчен и может
вызвать зависание MS Word или сообщение об ошибке.
"Wazzu.g,r" также зашифрованы. "Wazzu.g" содержит подпрограмму EatThis
вместо Payload. С вероятностью 1/10 эти вирусы выводят MessageBox с текстом:

Microsoft Word
This one's for you, Bosco.

"Wazzu.k" является слегка испорченным "Wazzu.a".
"Wazzu.l" - отсутствуют подпрограммы Payload и RndWord. С вероятностью 1/10
добавляет " wazzu!" в конец документа.
"Wazzu.m,s" не имеют подпрограммы Payload, но вызывают ее, результатом чего
является сообщение об ошибке MS Word.
"Wazzu.u,aa,ad" практически полностью совпадают с "Wazzu.a", но не
вставляют в документы строку "wazzu".
"Wazzu.x" не содержит Payload и RndWord, зато содержит строку-комментарий:

The Meat Grinder virus - Thanks to Kermit the Frog,
and Kermit the Protocol

"Wazzu.y,z" совпадают с "Wazzu.a" за исключением мелких изменений,
например, в вирусе "Wazzu.y" все символы табуляции заменены на пробелы.