home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / 40hex_1.002

< prev

next >

Wrap

Text File  |  1995-01-03  |  5KB  |  173 lines

---

1. 40H Vmag Issue 1 Volume 1                                               00002
2.  
3.              -  HOW TO MODIFY A VIRUS SO SCAN WON'T CATCH IT -
4.                                    OR
5.                      HOW TO CREATE NEW VIRUS STRAINS
6.  
7.  
8. The problem with most viruses is that this dickhead who lives in California
9. named John Mcafee gets his greedy hands on them and turns them into big
10. bucks -- for him.   John boy is the reason there are over 500 viruses out
11. there, and I wouldn't doubt if he weren't resposible for  writing at least
12. ten of them.
13.  
14. So the best thing to do to some Mcafee dependant sucker, or lame board is
15. this.
16.  
17. Say you have a copy of a played out virus, lets say an older one like
18. Armstand or Jerusalem.  Almost every virus scanner can detect these
19. viruses cause they been around so long.  Now heres a quick way to modify
20. viruses so the scanners wont catch them, in turn making them new strains.
21.  
22. The tools you need are --
23.  
24.                           Norton Utilites
25.                           Debug          and/or
26.                           Turbo Debugger by Borland
27.  
28. Now heres what you do.
29.  
30. Step A
31. ------
32.  
33. Make a target file like this with Debug
34.  
35. Copy the below file with your editor to a file called SAMPLE.USR
36.  
37. -------------------------------------------------------------------------------
38. n sample.com
39. a
40. int 20
41.  
42. rcx
43. 2
44. w
45. q
46. ------------------------------------------------------------------------------
47. Then uses Debug to make the file SAMPLE.COM executing this command --
48.  
49. DEBUG < SAMPLE.USR
50.  
51. This will make a two byte called SAMPLE.COM
52.  
53.  
54. STEP B
55. ------
56.  
57. Infect the file with the virus.  If this is a boot sector virus your on
58. your own.  Do whatever you have to to infect the two byte file.
59.  
60.  
61. Make a copy of the file and keep it for safe keeping.
62.  
63. STEP C
64. ------
65.  
66. Load up DISKEDIT, which comes with Norton 6.0 (I'm not sure if its in the
67. lower versions) PCTOOLS Hex Editor will work too but it takes more work.
68.  
69. Now have DISKEDIT Hex-edit the infected file.
70.  
71. Now figure out where the middle of the file is.  Next put block on and
72. go to the end of the file.  At the end of the file go to the edit screen and
73. select fill.  Fill the lower half of the file will nonsense characters, its
74. good to select 255d (FFh) the blank character.
75.  
76. Now save your changes and go to DOS
77.  
78. Now use SCAN to scan the file for viruses.  If it detects the virus you
79. didnt delete the search string that SCAN is searching for.  Get it???
80.  
81. You see all SCAN does is search files for strings that are related to viruses.
82. For example if SCAN was looking for CASCADE it look for something like this-
83.  
84.                         EB1DAD1273D1FF121F
85.  
86.  
87. In every file you specify.  So what we are doing is narrowing down where that
88. string is in the virus that SCAN keeps finding.
89.  
90. So what you have to do is keep deleting parts of the virus with DISKEDIT
91. untill you finally narrow down the string.
92.  
93. Keep this in mind, search strings are in the first 150 bytes of the file
94. about 75% of the time.
95.  
96. Ok lets say you narrowed down the search string and lets say it's -
97.  
98.                       B8 92 19 B7 21 CD
99.  
100. It will most likly be longer but this an example.
101.  
102. Now back to DEBUG - Do the following--
103.  
104. DEBUG
105.  
106. E 0100 b8 92 19 b7 21 cd    -- this is the string you found
107.  
108. Then type --
109.  
110. U
111.  
112. This will give you a unassembled look at what the id-string is.  In this
113. example it was
114.  
115.  
116.                        mov  ax,1992h
117.                        mov  bx,21h
118.                        int  21h
119.  
120.  
121. Now this is what you have to do, and keep in mind the following ---
122.  
123. THE FOLLOWING TAKES A SOMEWHAT KNOWING OF ASSEMBLER AND HOW IT WORKS!!!!!!
124.  
125. Uses Turbo Debugger to find the string, you can use DEBUG but I don't know
126. how to do this from debug.
127.  
128. Ok say you got the string on the screen --
129.  
130.                        mov  ax,1992h
131.                        mov  bh,21h
132.                        int  21h
133.  
134. Write down the locations in the file where these strings are.  Ex 0100h etc..
135.  
136. Now rearrange the AX mov with the BX mov like this ---
137.  
138.                         mov bh,21h
139.                         mov ax,1992h
140.                         int 21h
141.  
142. You see?  You didn't change the way the code functions (THATS IF YOU KNOW
143. WHAT YOUR DOING!) but you changed the codes id-string for SCAN.
144.  
145. Now since Turbo Debugger dosent let you save the changes you must do it
146. via - Debug.
147.  
148. DEBUG virus.com
149.  
150. a 0122  - This is the address of the string
151.  
152. Now enter the assembler instructions --
153.  
154.                          mov bh,21
155.                          mov ax,1992h
156.                          int 21h
157.  
158. w
159.  
160. q
161.  
162. Save it and SCAN it, if SCAN doesn't catch it Congrats.  If it does ---
163. back to the lab.  Oh well you get the point.
164.  
165. One warning, this only works with un-encrypting viruses, or on the
166. encryption mechanism of encrypting files (which will most likely be Scanned).
167.  
168. With that in mind, have fun.
169.  
170.                                                                            HR
171.  
172. Downloaded From P-80 International Information Systems 304-744-2253
173.