home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / CPI1.ZIP / CPI-1 next >
Encoding:
Text File  |  1994-09-26  |  19.4 KB  |  369 lines
  1.                Computer Viruses - A Protagonist's Point Of View
  2.            -----===] CORRUPTED PROGRAMMING INTERNATIONAL [===-----
  3.  
  4.                             == CPI Newsletter #1 ==
  5.                     [ Article Written By Doctor Dissector ]
  6.                            Released : June 30, 1989
  7.  
  8.                            Call The CPI Headquarters
  9.                                  619-566-7093
  10.                         1200/2400 Baud :: Open 24 Hours
  11.  
  12.  
  13.  
  14.                               [1.1] Introduction:
  15.                               -------------------
  16.  
  17.       Welcome  to  "Computer  Viruses  - A Protagonist's Point Of View." This
  18.  letter,  perhaps  the  beginning of a small newsletter. Well, this "letter,"
  19.  is  written  by  one person right now, maybe I'll get some people to send in
  20.  more  info,  ideas,  and  examples  to CPI. If you would like to contribute,
  21.  please  upload  text  files to CPI Headquarters (see heading for number) and
  22.  leave a note to me telling me you are contributing to our magazine.
  23.  
  24.       Well,  as  an  overview,  this  article will cover a few topics dealing
  25.  with  viruses; however, there will be no examples covered as we are short of
  26.  programmers  at  the  moment. That reminds me, if you would like to become a
  27.  member  of  CPI, fill out the accompanying text file and upload it to CPI HQ
  28.  as  an upload to the Sysop, then leave me and the Sysop some mail to tell us
  29.  you  registered  to  become  a  member.  We  will get back to you as soon as
  30.  possible.
  31.  
  32.       The  purpose  of  this  magazine  is  to expand and broaden the general
  33.  computer  user's  view and knowledge of the dreadful computer Virus, as well
  34.  as  a  bit  on  Trojans  (not  the hardware, the SOFTWARE!). Then, after the
  35.  knowledge  of  these  computer  crackers  is  better  understood, the second
  36.  purpose  of  this  newsletter  is  to  teach  both methods of developing and
  37.  executing  a  better  virus/trojan.  We, CPI, feel viruses and trojans are a
  38.  vital  part  of  the  computer  world,  and should stand along the trades of
  39.  hacking,  phreaking, cracking, pirating, and pyro as an equal, not something
  40.  to be looked down upon (unless you are hit by one...).
  41.  
  42.       In  the  future,  we  hope CPI will grow and spread, just like a virus,
  43.  and  encompass  a large domain of the crackers, hackers, and other elite out
  44.  there  so  that  the  life  of  this group will be maintained, and that this
  45.  newsletter,  hopefully,  won't  be  the only issue to be released during the
  46.  group's existence.
  47.  
  48.       Also, please note that this  newsletter is purely for the spread of new
  49.  ideas and to educate  the reader of this "new" software technonlogy, and the
  50.  document, and  the  author  of the document  do not encourage or support any
  51.  illegal  use  of  the  information  contained,  and  the  reader  is  solely
  52.  responsible for their actions after aquiring this document.
  53.  
  54.                                              Doctor Dissector
  55.                                              CPI/ANE/TPH Author/Editor
  56.                                              Phortune 500
  57.  
  58.   --[ Table Of Contents ]----------------------------------------------------
  59.  
  60.      Phile    Subject                                  Author
  61.      -----    ---------------------------------------------------------
  62.       1.1     Introduction & Table Of Contents.........Doctor Dissector
  63.       1.2     Viruses- What, Where, Why, How...........Doctor Dissector
  64.       1.3     Aspects Of Some Known Viruses............Doctor Dissector
  65.       1.4     Ideas For Future Viruses.................Doctor Dissector
  66.       1.5     Suggested Reading........................Doctor Dissector
  67.       1.6     Conclusion...............................Doctor Dissector
  68.       1.x     CPI Application..........................Doctor Dissector
  69.  
  70. Subject:  CPI Issue 1 2/6
  71.  
  72.  
  73.      ----------------------------------------------------------------------
  74.  
  75.                       [1.2] Viruses- What, Where, Why, How
  76.  
  77.  
  78.           If  you  are a beginner in this field, you may be curious to what
  79.      a  virus/trojan  is.  Perhaps  you heard about it through some BBS, or
  80.      known  someone  who had their system crashed by one. Well, this is for
  81.      you.
  82.  
  83.           In  the  Trojan  War,  way  back  when,  there existed the Trojan
  84.      Horse,  right? Well, nowadays, there is a modern version of the Trojan
  85.      Horse  existing  is  software.  The  modern, computer, Trojan horse is
  86.      really  simple,  a psychedelic hacker implants destructive code into a
  87.      normal  (or  fake)  file.  This modified/fake file, when executed will
  88.      destroy  or  remove  something  from the host computer, usually format
  89.      the  hard  drive,  delete all files, or something similar. In order to
  90.      distribute  the corrupt phile, the hacker goes and does one or more of
  91.      various  things;  depending on how deranged this individual is (hehe).
  92.      These things are covered in the following section.
  93.  
  94.           A  virus,  in  normal  terms  is an organism which spreads malign
  95.      from  one  host  to  another,  transmitting  itself through biological
  96.      lines  so  that  both  the  previous  host  and the future host become
  97.      infected  with  the virus. Today, there are computer viruses, and just
  98.      like  biological viruses, they spread from file to file, host to host,
  99.      infecting  everything  it  "sees."  These  computer viruses can either
  100.      destroy  the  code  it  infects immediately, or over a period of time,
  101.      corrupt  or  damage  the  host  system it thrives upon. For example, a
  102.      virus  hidden in a file on a BBS could be downloaded to a host system.
  103.      Then,  the  user  who  downloaded it executes the file, which executes
  104.      normally  (as  seen  by the operator), but at the same time, the virus
  105.      attacks  other files, and infects them, so that each file owned by the
  106.      user  becomes  infected  with the virus. Then, at a given time or when
  107.      something  is fulfilled by the host system, the virus becomes a trojan
  108.      and  destroys,  encrypts, or damages everything available, infected or
  109.      un-infected.  In  general,  a  virus is a timed trojan that duplicates
  110.      itself  to  other  files,  which, in effect sustains the virus's life-
  111.      span  in  the  computer world, as more host systems are infiltrated by
  112.      the disease.
  113.  
  114.           Now  that  I've given you a description of the computer virus and
  115.      trojan, we can go onto more complex things... well, not really...
  116.  
  117.           Ok,  now, let's trace the life of a virus. A virus/trojan is born
  118.      in  the  mind  of  some  hacker/programmer  that  decides  to  develop
  119.      something   out   of   the   ordinary,  not  all  viruses/trojans  are
  120.      destructive,  often, some are amusing! Anyway, the hacker programs the
  121.      code  in  his/her  favorite  language;  viruses  can be developed with
  122.      virtually  any  language,  BASIC,  Pascal,  C, Assembly, Machine Code,
  123.      Batch  files,  and  many  more. Then, when the disease is complete and
  124.      tested,  the  hacker intentionally infects or implants the code into a
  125.      host  file,  a  file  that  would be executed by another un-suspecting
  126.      user,  somewhere  out there. Then, the hacker does one or more of many
  127.      things  to  distribute  his  baby.  The hacker can upload the infected
  128.      file  to  a local BBS (or many local/LD BBS's), give the infected file
  129.      to  a  computer  enemy,  upload the infected file to his/her workplace
  130.      (if  desired...hehe),  or  execute  the  phile  on  spot,  on the host
  131.      system.  Then,  the virus, gets downloaded or executed, it infiltrates
  132.      the  host  system,  and  either  infects  other  files, or trashes the
  133.      system  instantly.  Eventually,  the infected system's user gets smart
  134.      and either trashes his system manually and starts fresh, or some mega-
  135.      technical  user  attempts  to recover and remove the virus from all of
  136.      the  infected files (a horrendous job). Then, the virus dies, or other
  137.      host  systems that were previously infected continue, and accidentally
  138.      upload  or  hand out infected files, spreading the disease. Isn't that
  139.      neat?
  140.  
  141.           Now,  to  answer  your  questions;  I  already  explained  what a
  142.      virus/trojan  is  and  how they are developed/destroyed. Now, where do
  143.      these  suckers come from? Why, some hacker's computer room, of course!
  144.      All  viruses  and  trojans  begin at some computer where some maniacal
  145.      hacker  programs  the  code  and implants it somewhere. Then, you ask,
  146.      why  do they do this? Why hack? Why phreak? Why make stupid pyro piles
  147.      of  shit?  Think about it... This is an ART! Just like the rest. While
  148.      Hacking  delivers  theft  of  services,  Phreaking  delivers  theft of
  149.      services,  Cracking/Pirating  delivers theft of software and copyright
  150.      law  breaks,  Pyro  delivers  unlawful  arson/explosives,  Viruses and
  151.      Trojans  vandalize  (yes,  legally  it is vandalism and destruction of
  152.      property)  computer  systems  and  files. Also, these are great to get
  153.      back  at arch-computer enemies (for you computer nerds out there), and
  154.      just  wreak  havoc  among  your computer community. Yeah, PHUN at it's
  155.      best...
  156.  
  157.      ----------------------------------------------------------------------
  158. Subject:  CPI Issue 1 3/6
  159.  
  160.  
  161.      ----------------------------------------------------------------------
  162.  
  163.                        [1.3] Aspects Of Some Known Viruses
  164.  
  165.  
  166.           Many  viruses  have  been  written  before and probably after you
  167.      read  this article. A few names include the Israeli, Lehigh, Pakistani
  168.      Brain,  Alameda,  dBase,  and  Screen.  Keep in mind that most viruses
  169.      ONLY  infect COM and EXE files, and use the Operating System to spread
  170.      their  disease.  Also,  many viruses execute their own code before the
  171.      host  file  begins  execution,  so  after  the virus completes passive
  172.      execution  (without  "going  off")  the  program will load and execute
  173.      normally.
  174.  
  175.           Israeli  - This one is a TSR virus that, once executed, stayed in
  176.      memory  and  infected  both COM and EXE files, affecting both HARD and
  177.      FLOPPY  disks.  Once  executed, the virus finds a place to stay in the
  178.      system's  memory  and upon each execution of a COM or EXE file, copies
  179.      itself  onto the host phile. This one is very clever, before infecting
  180.      the  file,  it  preserves  the  attributes  and date/time stamp on the
  181.      file,  modifies  the  files attributes (removes READ only status so it
  182.      can  write  on it), and then restores all previous values to the file.
  183.      This  virus  takes very little space, and increases the host file size
  184.      by  approximately  1800  bytes.  The trigger of this virus is the date
  185.      Friday  the  13th.  This  trigger will cause the virus to either trash
  186.      the  disk/s  or delete the files as you execute them, depending on the
  187.      version. Whoever wrote this sure did a nice job....
  188.  
  189.           Lehigh  -  This one infects the COMMAND.COM file, which is always
  190.      run  before bootup, so the system is ready for attack at EVERY bootup.
  191.      It  hides  itself  via  TSR type and when any disk access is made, the
  192.      TSR  checks  the  COMMAND.COM  to  see  if  it is infected. Then if it
  193.      isn't,  it  infects  it,  and  adds  a  point to its counter. When the
  194.      counter  reaches  4,  the  virus  causes  the disk to crash. This one,
  195.      however,  can be stopped by making your COMMAND.COM Read-Only, and the
  196.      date/time  stamp  is  not  preserved,  so  if  the  date/time stamp is
  197.      recent,  one  could  be  infected  with  this  virus.  This  virus  is
  198.      transferred  via  infected  floppy disks as well as a clean disk in an
  199.      infected  system.  It can not infect other hosts via modem, unless the
  200.      COMMAND.COM is the file being transferred.
  201.  
  202.           Pakistani  Brain  -  This one infects the boot sector of a floppy
  203.      disk.  When  booting off of the disk, the virus becomes a TSR program,
  204.      and  then  marks  an  unused portion of the disk as "bad sectors." The
  205.      bad  sectors,  cannot be accessed by DOS. However, a disk directory of
  206.      an  infected  disk  will show the volume label to be @ BRAIN. A CHKDSK
  207.      will  find  a few bad sectors. When you do a directory of a clean disk
  208.      on  an  infected  system, the disk will become infected. The virus has
  209.      no  trigger  and  immediately  begins  to mark sectors bad even though
  210.      they  are  good. Eventually, you will have nothing left except a bunch
  211.      of  bad  sectors  and  no  disk  space. The virus itself has the ASCII
  212.      written  into  it with the words "Welcome the the Dungeon" as well the
  213.      names  of  the  supposed  authors of the virus, and address, telephone
  214.      number,  and  a  few  other  lame  messages.  To inoculate your system
  215.      against  this  virus,  just type 1234 at byte offset location 4 on the
  216.      boot track (floppy disks).
  217.  
  218.           Alameda  -  This  virus  also infects the boot sector of the host
  219.      system.  It  is  very  small  and  inhabits  ONE sector. This one only
  220.      damages  floppy  disks.  If  you  boot from a diseased disk, the virus
  221.      loads  itself  into  HIGH memory and during a warm boot, it remains in
  222.      memory  and  infects  any  other  clean disks being booted from on the
  223.      infected  system. It then replaces the boot track with the virus track
  224.      and  replaces  the  boot  track  on the last track of the disk, so any
  225.      data  located  on  the  last  track  is  corrupted.  All  floppy disks
  226.      inserted  during  reboot can catch this virus. This virus only infects
  227.      IBM PC's and XT's, however, it does not infect 286's or 386's.
  228.  
  229.           dBase  -  This  one is a TSR virus that works in a manner similar
  230.      to  the  Israeli  virus. It looks for files with a DBF extension, then
  231.      it  replicates  itself in all DBF files, preserving file size, and all
  232.      attributes.  After  the  first  90  days, the virus destroys your file
  233.      allocation  table  and  corrupts all data in the DBF files. This virus
  234.      creates  a  hidden  file,  BUG.DAT that indicates the bytes transposed
  235.      (in  order to preserve file specifications). Run a CHKDSK to make sure
  236.      you  don't  have  any  extra  hidden  files or a BUG.DAT in your dBase
  237.      directory.  If  you  create a BUG.DAT file manually in your directory,
  238.      making it read-only, you will be safe from this virus.
  239.  
  240.           Screen  -  This  one  is  another TSR virus that comes on and off
  241.      periodically.  When  it is on, it examines the screen memory and looks
  242.      for  any  4  digits  starting at a random place on the screen. Then it
  243.      transposes  two  of  them,  this is not a good thing. It infects every
  244.      COM  file  in  your  directory, HARD and FLOPPY disks can be infected.
  245.      You  can  use  a  ASCII  searcher  to  check  if  you  are infected by
  246.      searching  for  "InFeCt"  in your COM files. If you have this written,
  247.      read  the  4  bytes immediately preceding it and overwrite the first 4
  248.      bytes  of  the program with their value. Then, truncate the program at
  249.      their  stored  address. You will rid yourself of this virus. Make sure
  250.      you use a clean copy of you editor for this.
  251.  
  252.           Other  viruses  include  MAC, AMIGA, and many other environments.
  253.      By  the way, other computer systems other than IBM/DOS may become part
  254.      of CPI if you qualify.
  255.  
  256.           Anyway,  these  are  a few viruses I have read on and thus passed
  257.      the  information  to  you, I hope you can learn from them and get some
  258.      ideas for some.
  259.  
  260. Subject:  CPI Issue 1 4/6
  261.  
  262.  
  263.      ----------------------------------------------------------------------
  264.  
  265.                          [1.4] Ideas For Future Viruses
  266.  
  267.  
  268.           Since  I  have  covered  viruses  already in existence, lets talk
  269.      about  viruses that can or may exist in the near future. These are not
  270.      even   close   to   half  the  ideas  possible  for  destruction  with
  271.      trojans/viruses  available,  but  will  pose as a challenge to you who
  272.      are short of ideas.
  273.  
  274.           CSR  Virus  - A CMOS Stay Resident VIRUS that will implant itself
  275.      in  the  CMOS  memory of the AT (286/386/486?) which will execute upon
  276.      every bootup. This one would be VERY nice.
  277.  
  278.           Failsafe  Virus  - Preserves ALL attributes, Preserves file size,
  279.      remains  TSR  but hidden to TSR location programs, Modifies attributes
  280.      to  get  around  Read-Only  files, Infects ALL files (Not only COM and
  281.      EXE),  encrypts  all  data  on  trigger  (irreversible)  but preserves
  282.      original file size/attributes.
  283.  
  284.           Format  Virus - A virus which is TSR and when a DOS format or any
  285.      other  FORMAT  type  of call is called, will FORMAT every other track,
  286.      but will not allow DOS to notice.
  287.  
  288.           Write  Virus  -  A  virus  that  intercepts  write to disk, which
  289.      deletes the disk write, and marks sector as bad at write point.
  290.  
  291.           ASCII  Virus  -  Virus that would scramble ASCII text in any file
  292.      at trigger.
  293.  
  294.           Low  Level  Format  Virus  -  Virus  that  low level formats (BAD
  295.      format)  HD  in background with data still intact. I have seen regular
  296.      background  LLF  programs,  and it keeps data in place, but it does it
  297.      correctly... hmmm...?
  298.  
  299.           Hide Virus - A Virus that hides files slowly.
  300.  
  301.           Crash  Virus - Virus that emulates typical system crashes/freezes
  302.      occasionally.  Causes  BIOS to freeze and write BIOS ERROR messages on
  303.      screen.
  304.  
  305.           Modem  Virus  -  One  that  remains  in  boot  sector and TSR and
  306.      monitors  data  from  serial  ports,  puts in "artificial" line-noise.
  307.      NICE!
  308.  
  309.           These  are  just  a  few  I  thought  up... these could be really
  310.      good... Think of some more and call CPI HQ TODAY!
  311.  
  312. Subject:  CPI Issue 1 5/6
  313.  
  314.  
  315.      ----------------------------------------------------------------------
  316.  
  317.                              [1.5] Suggested Reading
  318.  
  319.  
  320.           The  following list is a compiled listing of some material I have
  321.      read   as  well  as  other  sources  you  MIGHT  find  information  on
  322.      concerning viruses and trojan horses. Happy trashing....
  323.  
  324.  
  325.           "Know Thy Viral Enemy" by Ross M. Greenberg
  326.            BYTE Magazine
  327.            June 1989, pg 275-280
  328.  
  329.           "Viruses: Assembly, Pascal, BASIC & Batch" by Tesla Coil ][
  330.            Phreakers And Hackers Underground Network Newsletter (PHUN)
  331.            Issue #3, Volume 2, Phile #2
  332.  
  333.           "A Boot Sector Virus" by Southern Cross
  334.            Phreakers And Hackers Underground Network Newsletter (PHUN)
  335.            Issue #4, Volume 2, Phile #3
  336.  
  337.           "Computer Viruses: A High Tech Disease" by Abacus
  338.            2600 Magazine
  339.            Volume 5, Number 2
  340.  
  341. Subject:  CPI Issue 1 6/6
  342.  
  343.  
  344.      ----------------------------------------------------------------------
  345.  
  346.                                 [1.6] Conclusion
  347.  
  348.  
  349.           Thus   ends  the  first  issue  of  CPI's  "Computer  Viruses:  A
  350.      Protagonist's  Point  Of  View." We hope you enjoyed it and we hope it
  351.      was informative and complete (at least about the specific issues).
  352.  
  353.           We,  CPI,  hope that you will share your information and comments
  354.      with  us  at  CPI  Headquarters,  as this newsletter will require both
  355.      information  and  an expansion of our current member base. If you feel
  356.      you  have  what  it takes to gather, read, or program for CPI, send us
  357.      an application today.
  358.  
  359.           Oh  yeah, if  this  happens to be the only issue of CPI, oh well,
  360.      and  many thanx to those who read it at least once, and enjoyed it (or
  361.      laughed  at  it).  Until our (my?) next issue, have phun and don't get
  362.      toooo wild......
  363.  
  364.  
  365.  
  366.  
  367.       =====[ CPI Headquarters * 619-566-7093 * 1200/2400bps * 24Hrs ]=====
  368.  
  369.