Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

Win32/Marburg

Nerezidentní polymorfní virus (virus přímé akce), napadající PE EXE (Portable Executable) soubory. Virus hledá soubory v aktuálním adresáři, v adresáři SYSTEM a v adresáři WINDOWS. Jelikož virus obsahuje chyby, není schopen replikace pod systémem Windows NT.
Virus se pokouší před infekcí alokovat pamět, která je nutná pro spuštění polymorfního generátoru (motoru). Polymorfní motor je prakticky totožný s motorem, použitým ve viru Win95.HPS (není ani divu, virus totiž pochází od stejného autora Griyo španělské skupiny 29A). Virus se ukládá do poslední sekce souborů. Před infekcí virus smaže antivirové soubory: ANTI-VIR.DAT, CHKLIST.MS, AVP.CRC, IVB.NTZ. Během infekce navíc virus kontroluje a nenapadá soubory, jenž mají v názvu znak "V" nebo se jmenují PANDA, F-PROT či SCAN.
V závislosti na datumu virus zobrazuje náhodně umístěné "error" ikony (červený křížek v bílém kolečku).
Virus obsahuje řetezce (první část obsahuje seznam funkcí, po které virus hledá:):
GetModuleHandleA GetProcAddress CreateFileA CreateFileMappingA
MapViewOfFile UnmapViewOfFile CloseHandle FindFirstFileA FindNextFileA
FindClose VirtualAlloc GetWindowsDirectoryA GetSystemDirectoryA
GetCurrentDirectoryA SetFileAttributesA SetFileTime DeleteFileA
GetCurrentProcess WriteProcessMemory LoadLibraryA GetSystemTime GetDC
LoadIconA DrawIcon


[ Marburg ViRuS BioCoded by GriYo/29A ]
KERNEL32.dll USER32.dll

Zpět