Infecta archivos de tipo PE aumentando su tamaño en unos 8000 Bytes.
En los tres meses siguientes a la infección, si se ejecuta un archivo infectado a la misma hora en que se produjo la infección, el virus muestra en pantalla un grupo de cruces blancas sobre círculos de color rojo (como los iconos que se muestran en las ventanas de error en Windows 95).
Método de Infección:
Marburg lleva a cabo la siguiente rutina:
Antes de infectar los archivos, Marburg borra archivos pertenecientes a programas antivirus: ANTI-VIR.DAT, CHKLIST.MS, AVP.CRC y IVB.NTZ. Sin embargo, no infecta archivos que tienen la letra V, así como los antivirus de Panda Software, F-prot y Scan.
En primer lugar, busca las siguientes funciones GetModuleHandleA y GetProcAddress, y después otras veintidós funciones más.
Durante la infección, el virus usa un método similar al del virus Cabanas. Es decir, analiza la tabla importada del archivo para GetModuleHandleA y GetProcAddress, y guarda esa dirección en el códigodel virus. Si no existen dichas entradas en la tabla el virus, se analiza el código del KERNEL32.
Cuando se ejecuta un archivo infectado, el virus busca las rutinas del nucleo del sistema operativo, es decir, de KERNEL32.
Si Marburg no es capaz de localizar las funciones del KERNEL32, regresa al código del archivo inicial. En cualquier caso, siempre reserva un bloque de memoria del sistema para copiar en él su código (lo necesita para ejecutar el polimorfismo) y busca los archivos para infectarlos.
Dependiendo de la estructura del archivo, el virus utiliza varios trucos, mediante los cuales consigue realizar la detección y desinfección más compleja. En este sentido, puede realizar alguna de las siguientes operaciones:
Reemplazar la dirección de comienzo en la cabecera del archivo PE por la suya.
Salvar la instrucción referente al salto al virus (en la dirección de comienzo del archivo) y no modificar la cabecera.
Escribir en el punto de entrada una rutina polimórfica inservible, seguida de la instrucción de salto al virus.
Método de Propagación:
Marburg no se propaga automáticamente por sus propios medios, sino que precisa de la intervención del usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con ficheros adjuntos, descargas de Internet, transferencia de ficheros a través de FTP, canales IRC, redes de intercambio de ficheros punto a punto (P2P), etc.
[ Marburg ViRuS BioCoded by GriYo/29A] KERNEL32.dll USER32.dll"
Para conseguir la mayor seguridad y protección
en tu ordenador, aprende a reconocer el virus W95/Marburg , del tipo Virus, con la "Enciclopedia de virus" de HispaVista
AntiVirus. La mejor defensa para tu PC o Mac frente a este virus es la prevención. Aquí encontrarás los AntiVirus más eficaces y las mejores utilidades para mantener limpio y a salvo tu ordenador, así como para garantizar la protección de tus datos.
Y no pierdas de vista los últimos virus aparecidos:
Baja
Medio
Para conseguir la mayor seguridad y protección
en tu ordenador, aprende a reconocer el virus W95/Marburg , del tipo Virus, con la "Enciclopedia de virus" de HispaVista
AntiVirus. La mejor defensa para tu PC o Mac frente a este virus es la prevención. Aquí encontrarás los AntiVirus más eficaces y las mejores utilidades para mantener limpio y a salvo tu ordenador, así como para garantizar la protección de tus datos.
