home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / MAGS.ZIP / VLAD#4.ZIP / ARTICLE.2_5 < prev    next >
Encoding:
Text File  |  1995-04-26  |  7.1 KB  |  131 lines
  1.  
  2.  
  3.                        The Slovakian Virus Scene
  4.                                   by
  5.                               Qark [VLAD]
  6.  
  7.  
  8.  Since the death of Bulgaria as the virus centre of the world two or three
  9.  years ago, America's recent decline (another story) and the death of
  10.  Trident in the Netherlands, the normal places we think of as virus capitals
  11.  have moved.  Sweden has always been a hotbed of activity, but recently
  12.  Taiwan, Australia, Russia and Slovakia have improved in focus.
  13.  
  14.  Slovakia is a small country, being the 'other' half of the former united
  15.  czechoslovakia, but it has two virus groups, and a seemingly large interest
  16.  in computer viruses.
  17.  
  18.  When the MtE used to be a very popular polymorphic engine, there was
  19.  another, not so well known but advanced polymorphic virus called
  20.  Slovakia 4.0, the last member of the Slovakia series. It was as good as
  21.  the MtE, although it used different techniques. This virus became quite
  22.  common in Slovakia.  At that time, SCAN only used algorithmic detection
  23.  for two things, the MtE and the Slovakias.  Also, according to Patricia
  24.  Hoffmans VSUM these two were the only strongly polymorphic systems.
  25.  Slovakia 4.0 was the last virus this author has created (as far as is
  26.  known).
  27.  
  28.  The most famous virus from Slovakia must be OneHalf virus by Vyvojar. It is
  29.  the second part of the Explosion series. It has spread all over Europe
  30.  and reached the US, thus being clasified as a "common virus". OneHalf
  31.  is a light polymorphic COM/EXE/MBR infector. It utilises a special
  32.  construction of jumps to distribute the decryptor into 10 pieces all over
  33.  the host code (kind of what Commander Bomber does, but in simplified form).
  34.  Removing the virus using the popular "FDISK /MBR" usually causes the user
  35.  serious trouble as two tracks are encrypted each time the computer is
  36.  rebooted and the virus decrypts the data on the fly, so the system becomes
  37.  addicted to the virus.  This makes it a very popular topic in [anti]virus
  38.  forums.
  39.  
  40.  Level_3 is the third and final virus in the Explosion series. It implements
  41.  EMM1_0 (Explosion's Mutation Machine 1.0), one of today's most advanced
  42.  polymorphic engines. There are 2 phases of decryption, one is a linear and
  43.  about 700 bytes long, full of conditional jumps (it emulates it's own
  44.  code to determine instruction flow). The first phase decrypts the real
  45.  decryptor of the virus (which is a simple loop). This is why it can't be
  46.  discovered by a simple decryption routine detector. TBAV only catches a few
  47.  samples by mistake. The source code can be found in 40hex-14.
  48.  
  49.  Vyvojar (the author of the viruses mentioned above) announced the end of
  50.  his virus writing activities because of school graduation and being busy
  51.  with different things. This is the end of the career of a virus writing
  52.  great.
  53.  
  54.  Although unknown by most, Slovakia is also home to a virus writing group
  55.  with three members called the Slovak Virus Laboratories (SVL) who have
  56.  written a few quality viruses.  The members of the group are JohnyX,
  57.  Mengele and The Professor.
  58.  
  59.  The following is a translation of an article they wrote for a popular
  60.  Slovakian magazine.
  61.  
  62.  This article was originally published in a computer magazine called
  63.  PC-REVUE issue 2/95 in a column "VIRUS RADAR", which is dedicated to new
  64.  viruses in Slovakia. This article was translated from the Slovak language,
  65.  with notes indicated using square brackets.
  66.  
  67.  ------8<-------------------------------------------------------------->8---
  68.  
  69.  On the computer, at the end of the year 1994
  70.  
  71.  Dear friends, we wish you all the best in the New Year 1995, in the name of
  72.  the Slovak Virus Laboratories (SVL).  We have picked this unusual kind of
  73.  New Years Greeting (well, we write unusual viruses as well, and one must
  74.  admit they're not the worst either), because we are sure that our favourite
  75.  VIRUS RADAR will mention it. To show our goodwill, we enclose the source
  76.  code of SVL 1.2, which has been discussed recently (we really are the
  77.  authors, don't doubt it).
  78.  A few words about SVL: we're cheerful guys, who are interested in Fred
  79.  Flintstone's philosophy (except our Development Chief, who is only
  80.  interested in girls and beer), as well as in writing tasty and juicy
  81.  viruses.  The group was founded spontaneously about 3 years ago in a bar,
  82.  while discussing the advantages of vodka combined with juice against pure
  83.  vodka.  First we did nothing, but then we started to do some freelance
  84.  production.  We have achieved several successes, we even got into the
  85.  newspapers (we have to mention one successful boot virus, the last one in
  86.  former Czechoslovakia [translator's note: Czechoslovakia split into Czech
  87.  and Slovakia in 1993; the "successful boot virus" seems to be J&M, which
  88.  formats partition table on November 15, although I assume that the virus
  89.  comes from Czech originally]).
  90.  Also in August we managed to do something, partly because one of our
  91.  irresponsible members forgot to change the text in the source to "GET AWAY
  92.  FROM THE COMPUTER, IT'S SUMMER !!!" and left it the way it was (he had to
  93.  be extremely polite to all SVL members for a month). After a time of
  94.  lethargy we released SVL 1.1 and 1.2.  In order to prevent rumors about
  95.  preparing something like SVL 1.5896, we announce that there is not and
  96.  never will be any version 1.x (besides 1.1 and 1.2). However, the world
  97.  keeps turning round pervertly and so we will keep writing viruses, which
  98.  will keep the writers of antiviral software alive (they should at least
  99.  support Ahmed Semtex's group in their fight against the Windows threat).
  100.  Shouting "LET'S ATTACK IN THE NEW YEAR" [translator's note: it rhymes in
  101.  Slovak language, of course :)], we prepare hot news - SVL 2.0 -  It will
  102.  appear on your computers in the first or the second half of the year.
  103.  Actually, it is our personal response to EXPLOSION [translator's note:
  104.  Explosion is the first one of the row "Explosion, One_Half and Level_3"].
  105.  Finally, we would like to send some hot STEALTH greetings to our favourite
  106.  Virus Radar, Vyvojar [note: that's the nick of the guy who wrote the
  107.  Explosion series]. Addititonally, we would like to express our unlimited
  108.  admiration to the players, who broke the Guiness Record (none of us has
  109.  ever played a computer game for more than 40 hours) [note: there was an
  110.  attempt to beat the Guiness Record in length of playing the computer games
  111.  in Bratislava (the capital of Slovakia) in December '94. The current record
  112.  is about 175 hours]. We wish you enough cheap and high-quality software and
  113.  don't forget:
  114.  If you don't want to have your computers infected, don't buy them!!!
  115.  
  116.  Yours Sincerely,
  117.                         Press Manager of SVL
  118.  
  119.  P.S.  The only virus that infected us in 1994 (besides flu, we all caught
  120.        it) was OneHalf. We congratulate the author and we offer a meeting
  121.        sometime in the future.
  122.  
  123.  
  124.  ------8<-------------------------------------------------------------->8---
  125.  
  126.  Another quality virus from Slovakia is the Lion King virus which is a
  127.  polymorphic stealth COM/EXE infector written by an unknown author who
  128.  identifies himself as LST.
  129.  
  130.  
  131.