x
OFERTA 48H
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA ESPECIAL
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA HALLOWEEN
Aprovéchate de unos
descuentos de miedo
COMPRA HOY AL 50%
x
OFERTA NAVIDAD
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 40%
x
OFERTA ESPECIAL
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 50%
x
OFERTA BLACKFRIDAY
Compra el mejor antivirus
al mejor precio
SOLO HOY HASTA -70%
x
OFERTA CYBERMONDAY
Compra el mejor antivirus
al mejor precio
(Solo para particulares)
SOLO HOY HASTA -70%
Active Scan. Analiza Gratis tu PC
Panda Protection

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Marburg

PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

Marburg tiene los siguientes efectos:

  • Infecta archivos de tipo PE aumentando su tamaño en unos 8000 Bytes.
  • En los tres meses siguientes a la infección, si se ejecuta un archivo infectado a la misma hora en que se produjo la infección, el virus muestra en pantalla un grupo de cruces blancas sobre círculos de color rojo (como los iconos que se muestran en las ventanas de error en Windows 95).

Metodo de Infección 

Marburg lleva a cabo la siguiente rutina:

  • Antes de infectar los archivos, Marburg borra archivos pertenecientes a programas antivirus: ANTI-VIR.DAT, CHKLIST.MS, AVP.CRC y IVB.NTZ. Sin embargo, no infecta archivos que tienen la letra V, así como los antivirus de Panda Security, F-prot y Scan.
  • En primer lugar, busca las siguientes funciones GetModuleHandleA y GetProcAddress, y después otras veintidós funciones más.
  • Durante la infección, el virus usa un método similar al del virus Cabanas. Es decir, analiza la tabla importada del archivo para GetModuleHandleA y GetProcAddress, y guarda esa dirección en el código del virus. Si no existen dichas entradas en la tabla el virus, se analiza el código del KERNEL32.
  • Cuando se ejecuta un archivo infectado, el virus busca las rutinas del nucleo del sistema operativo, es decir, de KERNEL32.
  • Si Marburg no es capaz de localizar las funciones del KERNEL32, regresa al código del archivo inicial. En cualquier caso, siempre reserva un bloque de memoria del sistema para copiar en él su código (lo necesita para ejecutar el polimorfismo) y busca los archivos para infectarlos.

Dependiendo de la estructura del archivo, el virus utiliza varios trucos, mediante los cuales consigue realizar la detección y desinfección más compleja. En este sentido, puede realizar alguna de las siguientes operaciones:

  • Reemplazar la dirección de comienzo en la cabecera del archivo PE por la suya.
  • Salvar la instrucción referente al salto al virus (en la dirección de comienzo del archivo) y no modificar la cabecera.
  • Escribir en el punto de entrada una rutina polimórfica inservible, seguida de la instrucción de salto al virus.

Método de Propagación 

Marburg no se propaga automáticamente por sus propios medios, sino que precisa de la intervención del usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con ficheros adjuntos, descargas de Internet, transferencia de ficheros a través de FTP, canales IRC, redes de intercambio de ficheros punto a punto (P2P), etc.

Otros Detalles  

Marburg tiene un tamaño de 7848 Bytes.

Marburg tiene, además, el siguiente contenido junto al código de infección:

GetModuleHandleA GetProcAddress CreateFileA CreateFileMappingA
MapViewOfFile UnmapViewOfFile CloseHandle FindFirstFileA FindNextFileA
FindClose VirtualAlloc GetWindowsDirectoryA GetSystemDirectoryA
GetCurrentDirectoryA SetFileAttributesA SetFileTime DeleteFileA
GetCurrentProcess WriteProcessMemory LoadLibraryA GetSystemTime GetDC
LoadIconA DrawIcon

[ Marburg ViRuS BioCoded by GriYo/29A ]
KERNEL32.dll USER32.dll"