Virus Polimorfo

Infecta los archivos ejecutables de Windows 95 (Archivos PE "Portable Executable")

Este es un virus altamente polimorfo, el cual infecto archivos ejecutables de Windows 95, también conocidos como PE files, o Portable Executable. Cuando el archivo infectado es ejecutado, busca más archivos ejecutables dentro del mismo directorio para infectarlos, así como los directorios Windows y System.

El virus no es residente en memoria, sino que es un virus de acción directa (infecta cada vez que es ejecutado). Los archivos infectados siempre cambian de tamaño. El tamaño que varía el archivo es determinado por el virus para ser dividido en 101 (decimal). Esto evita que el virus infecte el archivo dos veces.

Si el virus se encuentra con bases de datos de software de chequeo de integridad (ANTI-VIR.DAT, CHLIST.MS, AVP.CRC, IVB.NTZ) en cualquiera de los directorios mencionados arriba, estos son borrados. Esto es un intento de evitar la detección de algunos programas antivirus que buscan cambios en los directorios, ya que al borrar la base de datos, al programa no le quedará más que volver a generar el cálculo de la integridad de los archivos del directorio, los cuales ya estarán infectados.

Este virus no infecta ningún programa que contenga la letra "V" en el nombre, así como "PAND*.*", "F-PR*.*", "SCAN*.*", esto para evitar infectar programas de antivirus y minimizar el riesgo de detección.

La activación del virus es disparada por una fecha al azar y despliega un ícono de error (una cruz roja en un círculo blanco) en la pantalla.

Marburg ha sido reportado en el campo, y fue accidentalmente distribuido en el CD-ROM incluido en la revista de Inglaterra llamada PC Gamer en julio de 1998. El virus fue escrito por Griyo de la banda de escritores de virus españoles 29A.

El extradriver provisto ha sido probado con Dr. Solomon’s FindVirus versión 7.85. La detección será incluida en Dr. Solomon’s Anti-Virus Toolkit versión 7.86.