Энциклопедия компьютерных вирусов
Родственные вирусы
Вирус "Wazzu" является одним из наиболее широко распространенных в мире вирусов. Возможно, что причиной этому послужили несколько инцидентов - зараженный файл довольно длительное время находился на WWW-странице Microsoft, а несколько зараженных документов были случайно растиражированы на CD-дисках. В результате количество родственных "Wazzu" вирусов постоянно растет и уже перевалило за три десятка. Ниже даны описания их отличий от оригинально "Wazzu" ("Wazzu.a"), имена вирусов даны по стандарту CARO (AVP детектирует и лечит большую часть этих вирусов как "Wazzu.a"). "Wazzu.b,i" отличаются от оригинала строкой-комментарием:
< - - - - - - here 's the payload
"Wazzu.c,t,ac" никак не проявляются - не имеют подпрограммы Payload (но содержат подпрограмму RndWord. Естественно, что обращения к ней отсутствуют). "Wazzu.d,f,q,w,ad" не имеют ни Payload, ни RndWord. "Wazzu.f" - самый короткий представитель семейства - его двоичный образ занимает всего 318 байт. "Wazzu.e,h" - зашифрованные "Wazzu.a". "Wazzu.h" слегка испорчен и может вызвать зависание MS Word или сообщение об ошибке. "Wazzu.g,r" также зашифрованы. "Wazzu.g" содержит подпрограмму EatThis вместо Payload. С вероятностью 1/10 эти вирусы выводят MessageBox с текстом:
Microsoft Word This one's for you, Bosco.
"Wazzu.k" является слегка испорченным "Wazzu.a". "Wazzu.l" - отсутствуют подпрограммы Payload и RndWord. С вероятностью 1/10 добавляет " wazzu!" в конец документа. "Wazzu.m,s" не имеют подпрограммы Payload, но вызывают ее, результатом чего является сообщение об ошибке MS Word. "Wazzu.u,aa,ad" практически полностью совпадают с "Wazzu.a", но не вставляют в документы строку "wazzu". "Wazzu.x" не содержит Payload и RndWord, зато содержит строку-комментарий:
The Meat Grinder virus - Thanks to Kermit the Frog, and Kermit the Protocol
"Wazzu.y,z" совпадают с "Wazzu.a" за исключением мелких изменений, например, в вирусе "Wazzu.y" все символы табуляции заменены на пробелы.
