Real e Ilustre Colegio de Abogados de Zaragoza
 
Win95/Marburg
 
 
  
Nombre: Win95/Marburg
Alias: -
Categorías del virus: Polimórfico
¿Reparable?: Si
Fecha de aparición: 01/07/1998
Nivel de Riesgo (0-5): -
Nivel de Distribución (0-5): -
Nivel de Daños (0-5): -
  
  
Descripción breve: 

          Se trata de un virus polimórfico que ataca a Windows 95. Al ejecutar un fichero infectado por este virus, se produce la infección de todos los ficherostable ejecutable) del directorio actual (en el que nos encontremos) y de los directorios y System. Por un fallo, en el virus no funciona en Windows NT, pero sí en Window 95 o Windows 98. 
  
  
Modo de propagación: 
  
          Win95/Marburg se propaga por los medios habituales: disquetes, CD-ROM, ordenadores conectados en red, Internet, recepción de mensajes de correo electrónico en los que se adjuntan o incluyen ficheros ya infectados,... etc.
  
 
Síntomas de infección: 

          El virus escribe su código al final de los archivos PE que infecta, aumentando el tamaño de estos en unos 8.000 bytes. Este aumento de tamaño debería alertar a los usuarios de la infección producida.
  
  
Métodos de infección: 
  
          Cuando un fichero infectado se ejecuta, el virus busca las rutinas del KERNEL32. En primer lugar, busca GetModuleHandleA y GetProcAddress y luego otras 22 funciones más. Durante la infección el virus usa un método similar al del virus Win32/Cabanas. Es decir, analiza la tabla importada del fichero para GetModuleHandleA y GetProcAddress, y guarda esa dirección en el código del virus. Si no existen dichas entradas en la tabla el virus, se analiza el código del KERNEL32.

          Si el virus no es capaz de localizar las funciones del KERNEL32, regresa al código del fichero inicial. De todas formas, siempre reserva un bloque de memoria del sistema, copia en él su código (lo necesita para ejecutar el polimorfismo) y busca los ficheros para infectarlos.

          Dependiendo de la estructura del fichero, el virus utiliza varios trucos, mediante los cuales consigue realizar la detección y desinfección más compleja. En este sentido, puede realizar las siguientes operaciones: 

  • Reemplaza la dirección de comienzo en la cabecera PE por la suya, o 

    •  
  • Salva la instrucción referente al salto al virus (en la dirección de comienzo del fichero) y no modifica la cabecera, o 

    •  
  • Escribe en el punto de entrada una rutina polimórfica "basura" seguida de la instrucción de salto al virus.
          Antes de infectar los ficheros, Win95/Marburg borra los siguientes ficheros de datos correspondientes a determinados antivirus: Anti-vir.dat, chklist.ms, avp.crc y ivb.ntz. Mientras infecta el virus, además chequea los nombres de los archivos y no infecta aquellos que tienen la letra "V", así como los antivirus Panda, F-prot y Scan.

          Dependiendo de la fecha del sistema (en los 3 meses siguientes a la infección cuando un fichero infectado es ejecutado a la misma hora en que se produjo la infección), el virus muestra por pantalla una presentación. Ésta conñsiste la colocación (dentro de posiciones de pantalla aleatorias) el icono de error estandar (el típico de Windows - un circulo rojo con una cruz blanca).
 

 
          El virus contiene el siguiente texto:
      "GetModuleHandleA GetProcAddress CreateFileA CreateFileMappingA
      MapViewOfFile UnmapViewOfFile CloseHandle FindFirstFileA FindNextFileA
      FindClose VirtualAlloc GetWindowsDirectoryA GetSystemDirectoryA
      GetCurrentDirectoryA SetFileAttributesA SetFileTime DeleteFileA
      GetCurrentProcess WriteProcessMemory LoadLibraryA GetSystemTime GetDC
      LoadIconA DrawIcon

      [ Marburg ViRuS BioCoded by GriYo/29A ]
      KERNEL32.dll USER32.dll"