home *** CD-ROM | disk | FTP | other *** search

---

/ Collection of Hack-Phreak Scene Programs / cleanhpvac.zip / cleanhpvac / 40HEX-02.ZIP / 40HEX-2.005

< prev

next >

Wrap

Text File  |  1991-07-12  |  14KB  |  349 lines

---

1. 40Hex Volume 1 Issue 2                                                   0005
2.  
3.  
4.  
5.  
6.  
7.                        The Dark Avenger
8.                        --- ---- -------
9. Part I.  The Dark Avenger
10. -------------------------
11.  
12. Introduction:
13.  
14. The following text file was sent directly to Professor
15. Vesselin Bontchev in a public sent to an anti-viral board
16. located in Sofia, Bulgaria.
17.  
18. Bontchev is one of the leading anti-viral researchers in
19. Europe today.  A producer of number of effective anti-viral
20. programs in Bulgaria, his programs are widely used throughout
21. Europe.
22.  
23. The Dark Avenger is Bulgaria's most dangerous viral code
24. writer and a heavy metal fanatic - as this message concerning
25. himself, written by him (often referring to himself in third
26. person) reveals:
27.  
28. ----------------
29.  
30.   DARK AVENGER
31.   ============
32.  
33.   DARK AVENGER is the pseudonym used by a particularly prolific and
34.   malicious Bulgarian virus writer. It is also the name given in the
35.   West to some of his earlier viruses. His viruses include:
36.  
37.   DARK AVENGER V651, V1800, V2000 and V2100
38.  
39.   NUMBER OF THE BEAST aka 512 (several versions)
40.  
41.   ANTHRAX (Infects both files and boot sectors)
42.  
43.   V800 and its derivatives: 1226, PROUD, EVIL & PHOENIX
44.  
45.   Some other viruses, e.g. NOMENKLATURA & DIAMOND are in his style but
46.   are believed to be the work of others. MURPHY has been strongly
47.   influenced by him but is known to be of different authorship.
48.   CRAZY EDDIE may also be his.
49.  
50.   Several 'hacks' are now appearing of V1800, V2100, MURPHY and
51.   DIAMOND.
52.  
53.                ************* more **********
54.  
55.   Eddie is the mascot of the British heavy metal group, Iron Maiden
56.   (hence 'up the irons'). It is a 20 foot high skeleton that appears
57.   on stage with them and is featured on the sleeves of all their
58.   albums.
59.  
60.   Anthrax and Damage Inc are other heavy metal groups whose names have
61.   been featured in some Dark Avenger viruses. Iron Maiden numbers have
62.   also been mentioned including 'Somewhere in Time', 'Only the Good Die
63.   Young' and 'Number of the Beast'.
64.  
65.                 **************  more  **********
66.  
67.   Unusually, this virus writer has also produced a virus removal
68.   program together with a version log of his EDDIE series, as
69.   reproduced below with its original spelling and grammar.
70.  
71.   "DOCTOR   QUICK!   Virus Doctor for the Eddie Virus   Version 2.01
72.   10-31-89 Copyright (c) 1988-89 Dark Avenger.  All rights reserved.
73.   DOCTOR /? for help
74.  
75.   It may be of interest to you to know that Eddie (also known as "Dark
76.   Avenger") is the most widespread virus in Bulgaria for the time
77.   being.  However I have information that Eddie is well known in the
78.   USA, West Germany and USSR too.
79.  
80.   I started in writing the virus in early September 1988. In those
81.   times there were no any viruses in Bulgaria, so I decided to write
82.   the first Bulgarian virus.  There were some different Eddie's
83.   versions:
84.  
85.   VERSION 1.1, 16-DEC-1988
86.  
87.   In December I've decided to enhance the virus.  This version could
88.   infect files during their opening.  For that reason, a read buffer
89.   was allocated in high end of memory, rather than using DOS function
90.   48h when needed.  The disk was destroyed instead of the infected
91.   files.
92.  
93.   VERSION 1.2, 19-DEC-1988
94.  
95.   This added a new feature that causes (for example) compiled programs
96.   to be infected at once if the virus is resident.  Also, the "Eddie
97.   lives..." message was added (can you guess why exactly "Eddie"?)
98.  
99.   VERSION 1.31, 3-JAN-1989
100.  
101.   This became the most common version of Eddie. A code was added to
102.   find the INT 13 rom-vector on many popular XT's and AT's.  Also,
103.   other messages were added so its length would be exactly 1800 bytes.
104.   There was a subsequent, 1.32 version (19-JAN-1989), which added
105.   self-checksum and other interesting features that was abandoned
106.   because it was extremely buggy.
107.  
108.   In early March 1989 version 1.31 was called into existence and
109.   started to live its own life to all engineers' and other suckers'
110.   terror.  And, the last
111.  
112.   VERSION 1.4, 17-OCT-1989
113.  
114.   This was a bugfix for version 1.31, and added some interesting new
115.   features.  Support has been added for DOS 2.x and DOS 4.x.  For
116.   further information about this (the most terrible) version, and to
117.   learn how to find out a program author by its code, or why
118.   virus-writers are still not dead, contact Mr. Vesselin Bontchev (All
119.   Rights Reserved).
120.  
121.   So, never say die!  Eddie lives on and on and on...  Up the irons!"
122.  
123.   NOTE:
124.   Vesselin Bontchev, who the Dark Avenger is trying to discredit, is a
125.   leading virus researcher at the Bulgarian Academy of Sciences.
126.  
127.  
128. Post Note:
129.  
130. There is a rumor concerning the fact that RABID now has
131. the Dark Avenger on their staff of virus writers, and that
132. the new Dark Avenger variant released by them was, in fact,
133. written by him.  This has yet to be proven.
134.  
135. The more acceptable belief concerning this new strain
136. is that RABID simply picked up the source code for Dark Avenger,
137. released last December, and modified it.
138.  
139. Part II - Dark Avenger - Strain A
140.           -----------------------
141.  
142. Vesselin Bontchev reports in May 1990:
143.  
144. The Dark Avenger virus.
145. ======================
146.  
147. - I found two new mutations of this virus. Well, maybe
148.   "mutations" is not the correct word. In the first of them, the
149.   first 16 characters of the string "Eddie lives...  somewhere in
150.   time!" were replaced with blanks.
151.  
152. In the second example, all strings (the message above, the
153. copyright message and the "Diana P."  string) were replaced with
154. blanks.  - The author of the Dark Avenger virus (The bastard!  I
155. still cannot determine who he is.) has released the source code
156. of his virus.
157.  
158. It is full with ironic comments about me.  Of course, now we have
159. to expect lots of new, similar viruses to appear.  At least, this
160. leaded to one good thing - the source helped me very much in
161. disassembling the V2000 virus.  - I received a rather offensive
162. anonymous letter from this person.  In it he claims to be also
163. the author of both the V2000 (I trust this) and the Number of the
164. Beast viruses (the latter is unlikely).  [See Above]
165.  
166.  
167. Information About the Dark Avenger Virus, courtesy of
168. "Virus Bulletin Ltd," Buckinghamshire, England.
169.  
170. Note:
171.  
172. This information is far more valuable than the standard
173. Virus Summary by Patricia Hoffman.  Her entry concerning DA
174. fails to go into more depth about the Dark Avenger virus and
175. apparently she has yet to receive information of the
176. different versions of DA.  Such information is already a year
177. old, but she has yet to include it.
178.  
179. Entry...............: Dark Avenger
180. Alias(es)...........: ---
181. Virus Strain........: Dark Avenger
182. Virus detected when.: November 1989
183.               where.: USA
184. Classification......: February 1990
185. Length of Virus.....: about 1800 Bytes
186. --------------------- Preconditions -----------------------------------
187. Operating System(s).: DOS
188. Version/Release.....:
189. Computer model(s)...: IBM-compatible
190. --------------------- Attributes --------------------------------------
191. Easy Identification.: Two Texts:
192.                       "Eddie lives...somewhere in time" at beginning
193.                       and
194.                       "This Program was written in the City of Sofia
195.                       (C) 1988-89 Dark Avenger" near end of file
196.  
197. Type of infection...: Link-virus
198.                       COM-files: appends to the program and installs a
199.                                  short jump
200.                       EXE-files: appends to the program at the
201.                                  beginning of the next paragraph
202.  
203. Infection Trigger...: COM and EXE files are corrupted on any read
204.                       attempt even when VIEWING!!!
205.  
206. Storage media affected: Any Drive
207.  
208. Interrupts hooked...: Int 21 DOS-services
209.                       Int 27 Terminate and Stay Resident
210.  
211. Damage..............: Overwrites a random sector with bootblock
212.  
213. Damage Trigger......: each 16th infection; counter located in
214.                       Bootblock
215.  
216. Particularities.....: -
217.  
218. Similarities........: -
219.  
220.  
221. --------------------- Agents ------------------------------------------
222.  
223. Countermeasures.....: NONE! All data can be destroyed !!!!
224.                       There is no way in retrieving lost data.
225.                       Backups will most probably be destroyed too.
226.  
227. Countermeasures successful: install McAfee's SCANRES.
228.  
229. Standard means......: Good luck! Hopefully the virus did not destroy
230.                       too many of your programs and data.
231.  
232. --------------------- Acknowledgement ---------------------------------
233. Location............: VTC Uni Hamburg
234. Classification by...: Matthias Jaenichen
235. Documentation by....: Matthias Jaenichen
236. Date................: 31.01.1990
237.  
238. Part III - DARK AVENGER 2000
239.            =================
240.  
241.  Date:    02 Feb 90 10:49:00 +0700
242.  From:    Vesselin Bontchev
243.  
244.   This virus is also "made in Bulgaria" and again I am indirectly the
245.   cause of its creation.  I am a well known "virus-buster" in Bulgaria
246.   and my antivirus programs are very widely used.  Of course, virus
247.   designers didn't like it.  So their next creation...  causes trouble
248.   to my antivirus programs.
249.  
250.   This virus is exactly 2000 bytes long and I think that it was
251.   created by the author of the Eddie (Dark Avenger) virus.  The
252.   programming style is the same and there are even pieces of code
253.   which are the same.
254.  
255.   The virus acts much like the Eddie one --- it installs resident in
256.   memory by manipulating the memory control blocks; infects
257.   COMMAND.COM at the first run; infects both .COM- and .EXE-files;
258.   infects files when one executes them as well as when one copies
259.   them.
260.  
261.   However, there are some extras added.  First, the virus is able to
262.   fetch the original INT 13h vector just like the V512 one (by using
263.   the same undocumented function --- tricks spread fast between virus
264.   programmers).
265.  
266.   Second, it intercepts the find-first (FCB) and find-next (FCB)
267.   functions --- just like V651 (aka EDDIE II) (and contains the same
268.   bugs), so you won't see the increased file lengths in the listing
269.   displayed by the DIR command.
270.  
271.    Third, it contains the string "Copyright (C) 1989 by Vesselin
272.    Bontchev", so people may think that I am the author of this virus.
273.    In fact, the virus searches every program being executed for this
274.    string (the case of the letters does not matter) and if found,
275.    hangs the system.  It is not necessary to tell you that all my
276.    antivirus programs contain this string.  Of course, now I will have
277.    to use some kind of encryption, just to prevent such tricks.
278.  
279.   Vesselin Bontchev reported in May 1990:
280.  
281.   The V2000 virus (DARK AVENGER 2000)
282.   ===================================
283.  
284. - It turned out that the example of this virus I sent to some of
285. the antivirus researchers was not the original version.  The
286. original contains the string "Only the Good die young..."
287. instead of the "Copy me - I want to travel" message.  Also a
288. small piece of code in the original version was patched to
289. contain the "666" string. (That is, the version you have contains
290. this string, the original does not.)
291.  
292. - There exists also a small mutation of the version you have.
293. The only difference is that the `C' character in the word "Copy"
294. was changed to `Z'.
295.  
296. - When describing the V2000 virus, I stated that it halts the
297. computer if you run a program which contains the string
298. "Copyright (c) 1989 by Vesselin Bontchev". This is not quite
299. correct. In fact, the programs are only checked for the "Vesselin
300. Bontchev" part of the string.
301.  
302. - I obtained John McAfee's program Clean, version 60.  In the
303. accompanying documentation he states about the V2000 virus that
304. "The virus is very virulent and has caused system crashes and
305. lost data, as well as causing some systems to become non-bootable
306. after infection".  This is not very correct, or at least, there
307. is much more to be said.  The virus is exactly as virulent as the
308. Dark Avenger virus, and for the same reason.  It infects files
309. not only when one executes them, but also when one reads or
310. copies them. This is achieved exactly in the same manner as in
311. the Dark Avenger.  The systems become non-bootable when the virus
312. infects the two hidden files of the operating system - it cannot
313. distinguish them from the regular .COM files.  By the way, the
314. Dark Avenger virus often causes the same effect.  And at last,
315. but not least (:-)), the virus is highly destructive - just as
316. the Dark Avenger is.  It destroys the information on a randomly
317. selected sector on the disk once in every 16 runs of an infected
318. program. The random function is exactly the same, and the
319. counters (0 to 15 and for the last attacked sector) are exactly
320. the same and on the same offsets in the boot sector as with the
321. Dark Avenger virus.  The main difference is that the destroyed
322. sector is overwritten not with a part of the virus body, but with
323. the boot sector instead.  This makes a bit more difficult to
324. discover which files are destroyed - the boot sector is contained
325. in many "good" programs, such as FORMAT, SYS, NDD.  Also, the
326. nastiest thing - the damage function is not performed via INT 26h
327. (which can be intercepted).  The virus determines the address of
328. the device driver for the respective disk unit (using an
329. undocumented DOS function call, of course.  I begin to wonder if
330. Ralf Brown did any good when he made the information in the
331. INTERxyy file available :-)).  Then it performs a direct call to
332. that address.  The device driver in DOS does its work and issues
333. the appropriate INT 13h.  However the virus has scanned the
334. controllers' ROM space and has determined the original address of
335. the interrupt handler - just as the Dark Avenger virus does.
336. Then it has temporary replaced the INT 13h vector with the
337. address of this handler.  The result is that the damage function
338. cannot be intercepted.
339.  
340. - Also this virus (unlike Dark Avenger) supports PC-DOS version
341. 4.0 and will work (and infect) under it.
342.  
343. - The bytes 84 A8 A0 AD A0 20 8F 2E in the virus body are the
344. name "Diana P.", this time written in cyrillics.
345.  
346.                                                            Unknown Source
347.  
348.  
349.