home *** CD-ROM | disk | FTP | other *** search
/ HaCKeRz Kr0nlcKLeZ 1 / HaCKeRz Kr0nlcKLeZ.iso / virus / virusprogramming / altvirus.faq < prev    next >
Encoding:
Text File  |  1996-04-16  |  10.1 KB  |  301 lines
  1. ----=====*****THE ALT.COMP.VIRUS Frequently Asked Questions sheet
  2. DATE: Feb 1995
  3.  
  4. *****DISCLAIMER*****
  5.  
  6. I assume no responsibility for any misuse of the items contained within this
  7. FAQ.  
  8.  
  9. *****Table of Contents*****
  10.  
  11. I. Preface
  12.  
  13. A. Definitions of viruses and other forms of electronic "life". 
  14.         1. What is a virus?
  15.         2. What is a worm?
  16.         3. What is a trojan horse?
  17.         4. What is an ANSI bomb?
  18. B. Discussion of programming techniques.
  19.         1. Run-time .COM infecting viruses
  20.         2. Memory-resident .COM infecting viruses
  21.         3. Alternate infection methods
  22.         4. Other tips and tricks
  23.         5. FTP sites and IRC bots
  24. C. Virus removal and anti-virus software.
  25.         1. The _Correct_ way to use FDISK /MBR
  26.         2. Removing Boot/MBR viruses
  27.         3. Removing Boot/MBR stealth viruses
  28.         4. Removing file viruses
  29.         5. Anti-virus software review
  30. D. On-going debate of different views on viruses.
  31.         1. Debate on viruses made for the hell of it.
  32.         2. Debate on viruses as smart weapons.
  33.         3. Debate on "good" viruses
  34.  
  35. **********
  36.  
  37. I. Preface
  38.  
  39.         There have been several posts in alt.comp.virus, asking why 
  40. there wasn't an alt.comp.virus FAQ.  I decided that was enough and set out
  41. to start writing it.  As with all FAQs it is not complete and won't cover
  42. every question, but, that's why it's open for improvement.  So any thing you
  43. would like to see added, including the debates, send to: danishm@iia.org.
  44.  
  45. A. Definitions of viruses and other types of electronic "life".
  46.  
  47. 1. What is a virus?
  48.  
  49.         A virus is a program that contains the ability to replicate.
  50. It has the ability to spread itself through many computers.  It does this
  51. by using the DOS and BIOS interrupts, generally. (other types of disk access
  52. will be discussed later and are also found in VLAD#3)  It requires other 
  53. programs to be able to spread, which makes it different from a worm.
  54.  
  55. 2. What is a worm?
  56.  
  57.         A worm, like a virus, spreads itself by replication.  A worm does 
  58. not require third party programs to replicate and usually spread themselves 
  59. through networks.
  60.  
  61. 3. What is a trojan horse?
  62.  
  63.         A trojan horse does not replicate, but is substituted for another
  64. program by a user.  Generally they wreak havoc on the computer when they run.
  65.  
  66. 4. What is an ANSI bomb?
  67.  
  68.         An ANSI bomb does not replicate either like a trojan horse, and 
  69. usually does damage by remapping the keyboard using ANSI.SYS (hence it's
  70. name) to damage the computer.  An example would be, an ANSI bomb remaps
  71. the letter A to 'FORMAT C: /U /AUTOTEST' or 'ECHO Y:FORMAT C:'.
  72.  
  73. B. Discussion of programming techniques.
  74.  
  75. 1. Run-time .COM infecting viruses.
  76.  
  77.         In this FAQ I will only cover .COM file infection because it is very 
  78. easy for the beginner.  Run-time viruses are run before the program and
  79. search for new .COM files to infect.  If they are of great size it can slow
  80. down the execution of a program and thus warn the user.  In theory run-time
  81. viruses are extremely easy, but in practice occasionally will produce 
  82. problems...depending on how you're doing it.  Overwriters are simple and 
  83. easy to spot, they overwrite the program:
  84.  
  85. Before infection:
  86.  
  87. { Program }
  88.  
  89. After infection:
  90.  
  91. { Virus }m }
  92.  
  93. Non-overwriters, or appenders, are a lot better in that they don't destroy
  94. programs that they infect:
  95.  
  96. Before infection:
  97.  
  98. { Program }
  99.  
  100. After infection:
  101.  
  102. { V rogram }{ irus P}
  103.   ^----------------^
  104.  
  105. As you see the virus replaces the first few bytes with a jump to the virus
  106. code.  After the jump the virus replaces the original code in it's proper
  107. spot, ONLY in memory.  Then the virus does it's stuff and jumps back to 
  108. the beginning of the program and the program runs as nothing had happened.
  109. At least that's what supposed to happen.  Some programs may cause problems,
  110. but that is the exception, not the rule.
  111.  
  112. 2. Memory-resident .COM infecting viruses.
  113.  
  114.         Memory-resident viruses are much better than their run-time kin
  115. because:
  116.  
  117. 1. They don't cause sluggish delays caused by searching and writing before 
  118. the file is run.
  119. 2. They have a wider reach.
  120. 3. They can be smaller sometimes.
  121. 4. They can hide their code and increases in files in a DIR listing.
  122.  
  123. Plus much more.  More knowledge is required however to write one, but that
  124. is obvious and I will attempt to write a guideline (no code) to go by 
  125. when writing one.
  126.         First thing it should do is check for a previos installation.
  127. This can be accomplished by making up a value for AX and checking for it in 
  128. your handler.
  129.         Next memory reservation is required, this involves freeing up some
  130. memory because .COM files get everything when run, then allocating some 
  131. memory for your code.  Changing the value in MCB:0001h to 0008h will make
  132. that memory resident.  You can also decrease total conventional memory and
  133. put your code up th7ere.
  134.         Next you must move your code to that segment, wherever it may be,
  135. in a MCB-controlled segment or top of memory.
  136.         Next you must point your interrupts that you are hooking to your
  137. code in the segment that you reserved.
  138.         Then restore control to the host program.  The interrupt handler is 
  139. pretty straightforward, but for a better description, refer to another 
  140. source.
  141.  
  142. 3. Alternate infection methods.
  143.  
  144.         The appending method of infection is not alone.  Many other methods
  145. are available including putting the virus first:
  146.  
  147. Before:
  148.  
  149. { Program }
  150.  
  151. After:
  152.  
  153. { Virus }{ Program }
  154.  
  155. Another is to put the jump in another location, such as to search for one 
  156. in the program:
  157.  
  158. Before:
  159.  
  160. { Program }
  161.  
  162. After:
  163.  
  164. { ProgVam }{ irus R}
  165.       ^-----------^
  166.  
  167. 4. Other tips & tricks.
  168.  
  169.         Everyone wants their virus to be undetectable and efficient, so here 
  170. are a few tricks I picked up, along with references from where I got them.
  171.  
  172. mov     di,0101h     ; If mov   di,0100h  TBSCAN detects it
  173. dec     di    
  174. push    di
  175. ret
  176.                 ; (from VLAD)
  177.  
  178. mov     cx,word ptr [bp+old3]  ; Alternate way of detecting .EXE files
  179. add     cl,ch
  180. cmp     cl,167
  181. je      close
  182.                 ; (from VLAD)
  183.  
  184. lea     si,[bp+old3]    ; Combines move of original 3 bytes and the
  185. mov     di,0101h        ; jump back to 0100h
  186. dec     di
  187. movsw
  188. movsb
  189. push    di
  190. ret                     
  191.  
  192. 5. FTP sites and IRC bots.
  193.  
  194.         Here are a few FTP sites that have virus-related stuff:
  195.  
  196. ftp.netcom.com/pub/br/bradleym
  197. ftp.netcom.com/pub/sb/sbringer
  198. aql.gatech.com
  199. ftp.iia.org/pub/users/danishm       (Contact me for access to virus area)
  200.  
  201.         Here are a few IRC bots that carry virus stuff:
  202. LamerBot
  203. Krauser
  204. MFM-II
  205. Bot_m                           
  206.  
  207.         Most of the bots can be found on channel #virus
  208.  
  209. C. Virus removal and anti-virus software.
  210.  
  211. 1. The _Correct_ way to use FDISK /MBR.
  212.  
  213.         We've had people suggesting FDISK /MBR to people with MBR infections
  214. but often they don't mention the problems that can come about from using it.
  215. FDISK /MBR rewrites the Master Boot Record to the basic minimum the machine
  216. needs to operate.  If you have DriveSpace, Stacker, or any other type of 
  217. utility that installs itself in the MBR, and you FDISK /MBR your disk, you
  218. could lose all of your data because the proper programs are not loaded.
  219. If that is the case find a good AV program such as F-PROT and use it instead.
  220. In fact it always is a good idea to find a different alternative rather than
  221. FDISK /MBR.
  222.  
  223. 2. Removing Boot/MBR viruses.
  224.  
  225.         To determine that this is a virus that doesn't encrypt the original
  226. Boot/MBR, boot from a CLEAN floopy disk and try and access the hard disk.
  227. If you can't, it's a stealth virus and refer to the next section on Removing
  228. Boot/MBR stealth viruses.  If you can and there is no programs like Stacker
  229. loaded in your original Boot/MBR then it is ok to use FDISK /MBR, SYS C:, 
  230. though it is recommended that you use AV-software instead.  If you do need 
  231. get back the original, either extract and disassemble the Boot/MBR, contact
  232. the author of the virus, or if that frightens you, get some AV-software to
  233. remove it.
  234.  
  235. 3. Removing Boot/MBR stealth viruses.
  236.  
  237.         Refer to section 2 to find out if the virus is stealth.  This method
  238. will NOT work with non-stealth viruses, and is not guarenteed to work.
  239. Make a program to extract the Boot/MBR.  Then reboot your machine from the 
  240. infected hard disk and run the program.  It should return the original 
  241. Boot/MBR.  After this copy it to a disk that is NOT a boot disk.  Now you
  242. have a copy of your original Boot/MBR and you now can replace the Boot/MBR
  243. of your hard disk with the original Boot/MBR.  I will let you go about the
  244. coding by yourself though I will be glad to send you files to do it.  If   
  245. you are afraid of permanently destroying your hard disk, get some 
  246. AV-software to do it for you.
  247.  
  248. 4. Removing file viruses.
  249.  
  250.         Before removing file viruses, boot from a clean disk.   Now you may
  251. go through with DEBUG and see if there is a jump at the beginning to almost
  252. the end of the file it may be infected.  Disassemble the point where it 
  253. jumped to, and see if the code resembles virus code.  If it does, attempt to
  254. look for the original few bytes.  If that prospect frightens you or you don't
  255. want to bother searching each file, get AV-software to check them for you.
  256.  
  257. 5. Anti-virus software review.
  258.  
  259.         I have prepared a review of anti-virus software from what I have
  260. gathered in my journeys throughout the internet.
  261.  
  262. Central Point Anti-Virus (CPAV) - Isn't very good, but at least is original,
  263. MSAV rips off most of it. 
  264.  
  265. Microsoft Anti-Virus (MSAV) - Is horrible, besides the fact it rips off CPAV.
  266.  
  267. Norton Anti-Virus (NAV) - Not very good, though it gets good ratings from
  268. magazines and stuff because of it's user interface, all graphical.
  269.  
  270. McAfee ViruScan (SCAN) - An ok scanner, better than CPAV, MSAV, and NAV, but
  271. not the best.
  272.  
  273. ThunderByte Anti-Virus (TBAV) - An awesome scanner, it's capabilites with
  274. unknown viruses are astounding.
  275.  
  276. F-Protect (F-PROT) - I have never seen a better scanner, it combines 
  277. heuristic capability (detecting unknown viruses) with an excellent scanning
  278. and removal facility.
  279.  
  280.  
  281. D. On-going debate on different views on viruses.
  282.  
  283. 1. Debate on viruses made for the hell of it.
  284.  
  285. -Nothing-
  286.  
  287. 2. Debate on viruses as smart weapons.
  288.  
  289. -Nothing-
  290.  
  291. 3. Debate on "good" viruses.
  292.  
  293. -Nothing-
  294.  
  295.  
  296.  
  297.  
  298.  
  299. ***That's it for this FAQ***
  300.  
  301.