Энциклопедия компьютерных вирусов
   генетический тест стоимость |       

Win95.Marburg


Нерезидентный полиморфичный Windows95-вирус. Заражает PE EXE-файлы (Portable Executable), которые ищет в текущем каталоге, затем в каталоге Windiws и System. По причине ошибок неспособен размножаться под Windows NT. При запуске зараженного файла вирус сканирует KERNEL32 и ищет адреса процедур: сначала GetModuleHandleA и GetProcAddress, затем адреса еще 22 процедур, необходимых вирусу для размножения. При сканировании KERNEL32 вирус использует метод, похожий на аналогичную процедуру в вирусе "Win32.Cabanas"

: при заражении файлов вирус ищет в таблице импортируемых процедур ссылки на GetModuleHandleA и GetProcAddress и запоминает их адреса. Если таких ссылок нет, вирус сканирует код модуля KERNEL32.

Если указанные процедуры не обнаружены, вирус возвращает управление программе-носителю. В противном случае вирус выделяет блок памяти, копирует туда свой код (это необходимо для работы полиморфик-генератора), ищет PE-файлы и заражает их.

При заражении вирус шифрует свой код полиморфик-кодом и записывает результат в конец файла в последнюю секцию, предварительно увеличив ее размер. Полиморфик-генератор вируса практически полностью совпадает с аналогичным в вирусе "Win95.HPS".

Для того чтобы получить управление при запуске, вирус тремя различными способами правит код и таблицы заражаемого файла в зависимости от его структуры: либо записывает свой адрес в PE-заголовок (заменяет стартовый адрес программы - практически все Windows-вирусы делают то же самое), либо не меняя стартового адреса записывает в точку входа в программу команду передачи управления на свой код JMP_Virus (прием вируса "Win32.Cabanas"), либо записывает в точку входа полиморфик-код, который затем передает управление на код вируса командой JMP_Virus.

Перед заражением вирус удаляет антивирусные файлы данных: ANTI-VIR.DAT, CHKLIST.MS, AVP.CRC, IVB.NTZ. При заражении вирус проверяет имена файлов и не заражает антивирусы PANDA, F-PROT, SCAN, также как и файлы, в именах которых присутствует символ 'V'.

В зависимости от системной даты (при запуске зараженного файла через три месяца и точно в тот час, когда он был заражен) вирус по случайным позициям на экране выводит несколько иконок ошибки Windows: белый крест в красном круге.

Вирус содержит текстовые строки (первый блок - имена функций, которые использует вирус):

GetModuleHandleA GetProcAddress CreateFileA CreateFileMappingA MapViewOfFile UnmapViewOfFile CloseHandle FindFirstFileA FindNextFileA FindClose VirtualAlloc GetWindowsDirectoryA GetSystemDirectoryA GetCurrentDirectoryA SetFileAttributesA SetFileTime DeleteFileA GetCurrentProcess WriteProcessMemory LoadLibraryA GetSystemTime GetDC LoadIconA DrawIcon

[ Marburg ViRuS BioCoded by GriYo/29A ] KERNEL32.dll USER32.dll



Содержание раздела