Win32/Marburg

Nerezidentnφ polymorfnφ virus (virus p°φmΘ akce), napadajφcφ PE EXE (Portable Executable) soubory. Virus hledß soubory v aktußlnφm adresß°i, v adresß°i SYSTEM a v adresß°i WINDOWS. Jeliko₧ virus obsahuje chyby, nenφ schopen replikace pod systΘmem Windows NT.
Virus se pokouÜφ p°ed infekcφ alokovat pam∞t, kterß je nutnß pro spuÜt∞nφ polymorfnφho generßtoru (motoru). Polymorfnφ motor je prakticky toto₧n² s motorem, pou₧it²m ve viru Win95.HPS (nenφ ani divu, virus toti₧ pochßzφ od stejnΘho autora Griyo Üpan∞lskΘ skupiny 29A). Virus se uklßdß do poslednφ sekce soubor∙. P°ed infekcφ virus sma₧e antivirovΘ soubory: ANTI-VIR.DAT, CHKLIST.MS, AVP.CRC, IVB.NTZ. B∞hem infekce navφc virus kontroluje a nenapadß soubory, jen₧ majφ v nßzvu znak "V" nebo se jmenujφ PANDA, F-PROT Φi SCAN.
V zßvislosti na datumu virus zobrazuje nßhodn∞ umφst∞nΘ "error" ikony (Φerven² k°φ₧ek v bφlΘm koleΦku).
Virus obsahuje °etezce (prvnφ Φßst obsahuje seznam funkcφ, po kterΘ virus hledß:):
GetModuleHandleA GetProcAddress CreateFileA CreateFileMappingA
MapViewOfFile UnmapViewOfFile CloseHandle FindFirstFileA FindNextFileA
FindClose VirtualAlloc GetWindowsDirectoryA GetSystemDirectoryA
GetCurrentDirectoryA SetFileAttributesA SetFileTime DeleteFileA
GetCurrentProcess WriteProcessMemory LoadLibraryA GetSystemTime GetDC
LoadIconA DrawIcon


[ Marburg ViRuS BioCoded by GriYo/29A ]
KERNEL32.dll USER32.dll

Jedno·Φelov² antivirus:

Jedno·Φelov² antivirus nebyl bohu₧el nalezen, zkuste se obrßtit na e-mail igi@viry.cz.

N∞kolik dobr²ch rad:

P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.