home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / LAVIUPD3.ZIP / LAVI13.ZIP / LAVI.DOC < prev    next >
Encoding:
Text File  |  1994-01-06  |  7.5 KB  |  173 lines
  1.  
  2. LAVI V1.3 ENERO 1994
  3. LAboratorio de VIrus
  4. (c)1994 FaTHeR MaC
  5. Industria Argentina
  6.  
  7. LAVI es un generador de virus al estilo VCL con las siguientes
  8. características:
  9.  
  10. 1- Los virus generados son del tipo residente.
  11. 2- Infectan solamente archivos .COM.
  12. 3- Si se desea, el COMMAND.COM puede ser infectado.
  13. 4- Pueden infectar archivos al ejecutarlos, abrirlos o ambas.
  14. 5- Los efectos del virus son programados por el usuario.
  15. 6- El virus puede estar encriptado.
  16. 7- Opcionalmente, puede intercalarse codigo muerto en el fuente.
  17. 8- Puede modificarse la rutina de autochequeo del virus.
  18. 9- Tambien se puede incluir una rutina de encriptado externa.
  19.  
  20. Nota: como sería de esperar, no me hago responsable del indebido uso que
  21. pueda dársele a este programa.
  22.  
  23. Al ejecutar LAVI:
  24.  
  25. Para que el programa funcione, solo se necesita el archivo LAVI.EXE,
  26. ademas del A86.COM en el mismo directorio o en el PATH, para que el
  27. programa pueda ensamblar el fuente y generar el COM.  Junto con el
  28. paquete se incluyen algunas rutinas que pueden utilizarse en los virus,
  29. con los siguientes límites:
  30.  
  31. El archivo generado no puede superar los 2048 bytes (ver APENDICE para
  32. ver como solucionar esto).
  33. Si se desea que el programa continue con su ejecucion luego de ejecutada
  34. la rutina, debe incluirse un RET al final de la misma, y tambien se
  35. deben resguardar los registros de segmento en caso de que la rutina los
  36. modifique.
  37.  
  38. Al ejecutar LAVI.EXE, se nos harán una serie de preguntas con respecto a
  39. las caracteristicas del virus deseado:
  40.  
  41. Nombre del virus: Solo es para incluirlo en el fuente
  42.  
  43. Autor: Se incluye tambien en el fuente
  44.  
  45. Nombre del archivo a generar: Es el archivo fuente (.8) o el ejecutable
  46. (.COM) que serán generados por el programa, NO debe incluirse ninguna
  47. extensión, y por supuesto, no debe superar los 8 caracteres.
  48.  
  49. Efecto por fechas: Si queremos que el virus se active al ejecutar un
  50. archivo infectado en alguna fecha determinada, debemos responder 'S' a
  51. la pregunta. Luego nos preguntará el día y el mes en los cuales se
  52. mostrará el efecto y a continuación el nombre de la rutina a la que
  53. corresponde el efecto (ej: TEXTO.RTN).
  54.  
  55. Efecto por azar: Si queremos que el virus se active al azar al ejecutar
  56. un archivo infectado, respondamos 'S'. Luego se nos preguntará la
  57. probabilidad de que ello ocurra, por ej., si respondemos '50', existirá
  58. una probabilidad del 50% de que se produzca el efecto deseado. A
  59. continuación nos preguntará el nombre de la rutina que contiene el
  60. efecto.
  61.  
  62. Infectar COMMAND.COM: Si queremos que el interpréte de comandos pueda
  63. ser infectado por el virus, respondamos 'S'.
  64.  
  65. Infectar al ejecutar: Si queremos que una vez residente el virus
  66. contamine archivos mientras se ejecutan, respondamos 'S'.
  67.  
  68. Infectar al abrir: Si queremos que el virus infecte archivos al abrirlos
  69. (por ejemplo al SCANearlos, o al utilizar PKZIP o ARJ), respondamos 'S'.
  70.  
  71. Las preguntas que vienen a continuacion pueden ser salteadas si no se
  72. conoce del tema, aunque sus funciones son muy útiles:
  73.  
  74. Caracter de identificacion: los archivos infectados son identificados
  75. por algun caracter ASCII, para evitar que sean re-infectados; este
  76. caracter puede ser modificado. Valor por defecto: 'L'.
  77.  
  78. Clave de encriptado: si queremos que el virus este encriptado, deberemos
  79. especificar un numero de 0 a 255 que corresponde a la clave de
  80. encriptado. Aclaro que aunque el .COM generado por el programa no
  81. esta encriptado, las sucesivas generaciones del virus si lo estarán.
  82. Valor por defecto: 0.
  83.  
  84. Rutina de residencia: para que el virus no se instale una y otra vez en
  85. memoria, se adopta una funcion no utilizada del D.O.S. como propia, y se
  86. la utiliza para realizar dicha identificación. Al elegir este valor debe
  87. tenerse en cuenta que al llamar a la INT21 con dicho valor en el
  88. registro AH, a la vuelta de la llamada el valor de AH no tiene que haber
  89. cambiado, para que el virus asuma que no ha sido instalado en memoria.
  90. Valor por defecto: 0BBh.
  91.  
  92. Rutina de encriptado/desencriptado: si no se especifica una rutina
  93. externa de encriptado/desencriptado, el virus utilizará la que tiene
  94. incorporada el programa. Si se desea que el virus se encripte de alguna
  95. manera mas compleja, puede especificarse el nombre de una rutina
  96. externa, que tenga en cuenta lo siguiente:
  97.  
  98. Segmento del codigo a encriptar: ES
  99. Offset del codigo a encriptar:
  100.  Comienzo: OFFSET COMIENZO + BP
  101.  Longitud: OFFSET ENCRIPTAR - OFFSET COMIENZO
  102.  
  103. Codigo redundante: De no existir esta opción, los virus generados por
  104. LAVI podrían ser facilmente reconocidos por algun string generico
  105. asociado a ellos; lo que hace esta opcion es intercalar en el código
  106. fuente instrucciones que no realizan ninguna funcion en particular, pero
  107. que hacen único a cada virus generado con el programa. Es decir, si
  108. especificamos exactamente las mismas opciones en dos virus que
  109. realicemos, y respondemos que 'N' a esta pregunta, ambos virus serán
  110. idénticos, pero si respondemos que 'S', ambos virus se comportaran de la
  111. misma manera, pero tendrán longitud y strings diferentes. Esta opción
  112. tiene dos desventajas: 1) Los virus ocupan mas espacio y 2) El código
  113. fuente generado se vuelve un poco confuso si se lo quiere modificar.
  114.  
  115. Despues de respondidas todas las preguntas anteriores, el programa
  116. pedirá que le especifiquemos lo que queremos generar:
  117.  
  118. Fuente: Se creará un archivos del tipo VIRUS.8, ensamblable directamente
  119. con el A86.
  120.  
  121. COM: Se ensamblara el fuente con el A86 (que debe estar en el mismo
  122. directorio o en el PATH), pudiendose ver los resultados del ensamble en
  123. el archivo A86.RPT.
  124.  
  125. Abortar: Retorna al DOS.
  126.  
  127. Después nos preguntará si queremos generar otro virus, retornando al
  128. D.O.S. si no es así.
  129.  
  130. APENDICE A: RUTINAS
  131.  
  132. Con el paquete se incluyen varias rutinas que pueden ser utilizadas por
  133. el programa, aunque el usuario puede generar las suyas propias, teniendo
  134. en cuenta que las mismas deben terminar con RET (si es que se desea
  135. proseguir con la ejecución del huesped), deben preservar los registros
  136. de segmento.
  137. Una vez ensamblado, el virus no debe ocupar mas de 2048 bytes para que
  138. funcione correctamente. Si nuestras rutinas requieren de mas espacio,
  139. esto puede modificarse cambiando los siguientes valor del fuente:
  140.  
  141. PARAGRAFOS EQU ...  Parrafos de 16 bytes, es decir, LONGITUD/16
  142. PARABYTES  EQU ...  La LONGITUD propiamente dicha
  143.  
  144. Estos valores corresponden a la cantidad de memoria que queda residente
  145. una vez activado el virus.
  146.  
  147. APENDICE B: SOBRE LOS VIRUS GENERADOS
  148.  
  149. Los virus generados son del tipo appending (se graban al final del
  150. archivo), son residentes (toman la INT21, funcion 4Bh o 3Dh, o ambas),
  151. tambien toman la INT24 para evitar el mensaje de error crítico y no
  152. alteran la fecha ni los atributos de los archivos infectados, los
  153. archivos no son reinfectados y el virus solo mantiene una copia de sí
  154. mismo en memoria.
  155.  
  156. APENDICE B: SOBRE LOS ANTIVIRUS
  157.  
  158. Los virus generados no son detectados por el SCANV109, ni por el F-PROT
  159. 2.10, ni tampoco por el TBSCAN V609. Si escaneamos con este último un
  160. archivo generado por el programa, va a ser detectado como "virus
  161. desconocido", pero si especificamos una clave de encriptado distinta de
  162. 0, las sucesivas generaciones del virus no van a ser detectadas por este
  163. programa.  Si creamos algun virus utilizando la opción de "codigo
  164. redundante", éste no va a poder ser detectado como un virus generado por
  165. LAVI (al menos no utilizando un string), sino que serán necesarios
  166. distintos strings para cada virus generado.
  167.  
  168. ¡Que lo disfruten!
  169.  
  170. FaTHeR MaC (c)1994
  171.  
  172. PD: ¡Reporten todos los BUGS que encuentren!
  173.