| Virusname | Wazzu |
| Virustyp | Microsoft Word Makro-Virus |
| Infiziert | Microsoft Word Dokumente und Vorlagen |
| Größe | 632 Bytes (1 Makro) |
| Symptome | Wörter werden im aktuellen Dokument verschoben oder das Wort "wazzu" eingefügt. |
| Reinigung | Viren-Makro aus infizierten Dokumenten löschen (AutoOpen) |
Wazzu besteht nur aus einem einzigen unverschlüsselten Makro "autoOpen", welches eine Größe von 632 Bytes hat (der Anfangsbuchstabe wurde klein geschrieben).
Wird ein infiziertes Dokument geöffnet, ermittelt der Virus zunächst den Namen des aktuellen Dokuments. Ist dieser gleich "NORMAL.DOT", kopiert der Virus sein Makro von der globalen Makrovorlage in das gerade geöffnete Dokument, ansonsten wird NORMAL.DOT s elber infiziert. Dokumente werden beim Infizieren, wie bei Makro-Viren üblich, in Vorlagen umgewandelt. Der Virus umgeht nicht die Word-Option 'Automatische Anfrage für Speicherung von Normal.dot'. Außerdem prüft der Virus nicht, ob ein Dokument bereits in fiziert ist. Das Virenmakro "AutoOpen" wird einfach überschrieben, falls ein infiziertes Dokument erneut geöffnet wird.
Die Schadensfunktion wird nach jedem Öffnen von Dokumenten dreimal hintereinander vom Virus aufgerufen. Mit einer Wahrscheinlichkeit von ca. 20% löscht der Virus ein zufällig ausgewähltes Wort im aktuellen Text und fügt es wieder an einer anderen Position ein, mit einer Wahrscheinlichkeit von ca. 25% fügt der Virus an einer zufälligen Position im aktuellen Dokument den Text "wazzu " ein. Wazzu ist der Spitzname der Washingtoner Universität.
Da der Virus nur das Makro "AutoOpen" belegt, funktioniert er auch mit der deutschen Version von Microsoft Word.
Es existieren mittlerweile weit über 100 Varianten von Wazzu, wovon einige nur geringfügige Veränderungen wie das Entfernen der Payload-Funktion oder ähnliches aufweisen.
Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)