Win32/Marburg

Nerezidentnφ polymorfnφ virus (virus p°φmΘ akce), napadajφcφ PE EXE (Portable Executable) soubory. Virus hledß soubory v aktußlnφm adresß°i, v adresß°i SYSTEM a v adresß°i WINDOWS. Jeliko₧ virus obsahuje chyby, nenφ schopen replikace pod systΘmem Windows NT.
Virus se pokouÜφ p°ed infekcφ alokovat pam∞t, kterß je nutnß pro spuÜt∞nφ polymorfnφho generßtoru (motoru). Polymorfnφ motor je prakticky toto₧n² s motorem, pou₧it²m ve viru Win95.HPS (nenφ ani divu, virus toti₧ pochßzφ od stejnΘho autora Griyo Üpan∞lskΘ skupiny 29A). Virus se uklßdß do poslednφ sekce soubor∙. P°ed infekcφ virus sma₧e antivirovΘ soubory: ANTI-VIR.DAT, CHKLIST.MS, AVP.CRC, IVB.NTZ. B∞hem infekce navφc virus kontroluje a nenapadß soubory, jen₧ majφ v nßzvu znak "V" nebo se jmenujφ PANDA, F-PROT Φi SCAN.
V zßvislosti na datumu virus zobrazuje nßhodn∞ umφst∞nΘ "error" ikony (Φerven² k°φ₧ek v bφlΘm koleΦku).
Virus obsahuje °etezce (prvnφ Φßst obsahuje seznam funkcφ, po kterΘ virus hledß:):
GetModuleHandleA GetProcAddress CreateFileA CreateFileMappingA
MapViewOfFile UnmapViewOfFile CloseHandle FindFirstFileA FindNextFileA
FindClose VirtualAlloc GetWindowsDirectoryA GetSystemDirectoryA
GetCurrentDirectoryA SetFileAttributesA SetFileTime DeleteFileA
GetCurrentProcess WriteProcessMemory LoadLibraryA GetSystemTime GetDC
LoadIconA DrawIcon


[ Marburg ViRuS BioCoded by GriYo/29A ]
KERNEL32.dll USER32.dll