home *** CD-ROM | disk | FTP | other *** search
-
- [ WordMacro.Wazzu ]──────────────────────────────────────────────────────────
-
- ■ VIRUSNAME: Wazzu
- ■ VIRUSTYP: Microsoft Word Makro-Virus
- ■ INFIZIERT: Microsoft Word Dokumente und Vorlagen
- ■ GROESSE: 632 Bytes (1 Makro)
- ■ SYMPTOME: Wörter werden im aktuellen Dokument gelöscht oder das Wort
- 'wazzu ' eingefügt
- ■ REINIGUNG: Viren-Makro aus infizierten Dokumenten löschen
- (AutoOpen)
-
- <Wazzu> besteht nur aus einem einzigen unverschlüsselten Makro "autoOpen",
- welches eine Größe von 632 Bytes hat (der Anfangsbuchstabe wurde klein
- geschrieben).
-
- Wird ein infiziertes Dokument geöffnet, ermittelt der Virus zunächst den
- Namen des aktuellen Dokuments. Ist dieser gleich "NORMAL.DOT", kopiert der
- Virus sein Makro von der globalen Makrovorlage in das gerade geöffnete
- Dokument, ansonsten wird NORMAL.DOT selber infiziert. Dokumente werden beim
- Infizieren, wie bei Makro-Viren üblich, in Vorlagen umgewandelt. Der Virus
- umgeht nicht die Word-Option 'Automatische Anfrage für Speicherung von
- Normal.dot'. Außerdem prüft der Virus nicht, ob ein Dokument bereits
- infiziert ist. Das Virenmakro "autoOpen" wird einfach überschrieben, falls
- ein infiziertes Dokument erneut geöffnet wird.
-
- Die Schadensfunktion wird nach jedem Öffnen von Dokumenten dreimal hinterein-
- ander vom Virus aufgerufen. Mit einer Wahrscheinlichkeit von ca. 20% löscht
- der Virus ein zufällig ausgewähltes Wort im aktuellen Text, mit einer Wahr-
- scheinlichkeit von ca. 25% fügt der Virus an einer zufälligen Position im
- aktuellen Dokument den Text "wazzu " ein. <Wazzu> ist der Spitzname der
- Washingtoner Universität.
-
- Da der Virus nur das Makro "AutoOpen" belegt, funktioniert er auch mit der
- deutschen Version von Microsoft Word.
-
-
- Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
-
-
