|
        
|
Win32/Marburg
Nerezidentní polymorfní virus (virus přímé akce), napadající PE EXE (Portable Executable) soubory. Virus hledá soubory v aktuálním adresáři, v adresáři SYSTEM a v adresáři WINDOWS. Jelikož virus obsahuje chyby, není schopen replikace pod systémem Windows NT.Virus se pokouší před infekcí alokovat pamět, která je nutná pro spuštění polymorfního generátoru (motoru). Polymorfní motor je prakticky totožný s motorem, použitým ve viru Win95.HPS (není ani divu, virus totiž pochází od stejného autora Griyo španělské skupiny 29A). Virus se ukládá do poslední sekce souborů. Před infekcí virus smaže antivirové soubory: ANTI-VIR.DAT, CHKLIST.MS, AVP.CRC, IVB.NTZ. Během infekce navíc virus kontroluje a nenapadá soubory, jenž mají v názvu znak "V" nebo se jmenují PANDA, F-PROT či SCAN.
V závislosti na datumu virus zobrazuje náhodně umístěné "error" ikony (červený křížek v bílém kolečku).
Virus obsahuje řetezce (první část obsahuje seznam funkcí, po které virus hledá:):
GetModuleHandleA GetProcAddress CreateFileA CreateFileMappingA MapViewOfFile UnmapViewOfFile CloseHandle FindFirstFileA FindNextFileA FindClose VirtualAlloc GetWindowsDirectoryA GetSystemDirectoryA GetCurrentDirectoryA SetFileAttributesA SetFileTime DeleteFileA GetCurrentProcess WriteProcessMemory LoadLibraryA GetSystemTime GetDC LoadIconA DrawIcon [ Marburg ViRuS BioCoded by GriYo/29A ] KERNEL32.dll USER32.dll
