Энциклопедия компьютерных вирусов



             

Macro.Word.Wazzu


Содержит единственный макрос - autoOpen. Заражает документы при их открытии и записывается в системную область Word (NORMAL.DOT) при открытии зараженного документа. Вирус незашифрован и легко может быть обнаружен по текстовым строкам внутри зараженного файла:

RndWorddo wazzu do RndWorddRgV

После заражения очередного документа или после инсталляции в систему вирус перемещает случайно выбранное слово внутри документа - выбирает два случайных адреса в зараженном документе, удаляет слово по первому адресу и вставляет его по второму адресу. Вирус повторяет эту процедуру до трех раз в зависимости от случайного счетчика. Затем вирус, также в зависимости от случайного счетчика, вставляет в случайную позицию внутри документа строку "wazzu ". Более подробно - в единственном макросе вируса содержится три подпрограммы:

MAIN - основная подпрограмма, вызываемая системой при запуске макроса autoOpen Payload - вызывается подпрограммой MAIN, перемещает слова и вставляет "wazzu". RndWord - вызывается подпрограммой Payload, выбирает в документе случауный адрес (позицию).

Вирус модифицирует документ в зависимости от системного счетчика случайных чисел: перемещает три слова - каждое с вероятностью 1/5, вставляет "wazzu" - с вероятностью 1/4.




Содержание  Назад  Вперед