home *** CD-ROM | disk | FTP | other *** search
/ Collection of Hack-Phreak Scene Programs / cleanhpvac.zip / cleanhpvac / BATCHCOL.ZIP / TOOLS.ZIP / BATALIA.ZIP / BATALIA.TXT next >
Text File  |  1996-12-12  |  4KB  |  90 lines
  1.  
  2.      BAT.Batalia6
  3.  
  4.      -----------------------------------------------------------------
  5.      It is a harmless nonmemory resident polymorphic parasitic BAT
  6.      virus. It searches for BAT files in the current directory, then
  7.      infects them. While infecting a file the virus runs the ARJ
  8.      archiver to pack the necessary files. If there are no ARJ.EXE
  9.      file in PATH, the virus fails to replicate itself.
  10.  
  11.      The infected contains two parts of code and data. The first part
  12.      (the header) contains five DOS commands, the second part (the
  13.      rest) contains a random named BAT file that is compressed by
  14.      using the ARJ archiver and a password. So, the infected file
  15.      contains the text strings (DOS commands) and the binary data (ARJ
  16.      archive).
  17.  
  18.      That BAT file also contains two parts: the main virus code (batch
  19.      commands) and the compressed data. The compressed data contains
  20.      several files: the host file, the virus data and code files. The
  21.      infected files look as ARJ archive within ARJ archive:
  22.  
  23.      Infected BAT file:
  24.  
  25.       +--------------------+
  26.       ªBAT instructions    ª - Header1, startup virus code
  27.       ª--------------------ª
  28.       ª  ARJ archive:      ª - Random named BAT file packed with ARJ
  29.       ª +----------------+ ª
  30.       ª ªBAT instructionsª ª - Header2, main virus code
  31.       ª ª----------------ª ª
  32.       ª ª  ARJ archive:  ª ª - The set of files
  33.       ª ª +------------+ ª ª
  34.       ª ª ªBATALIA6.BATª ª ª - Infection, polymorphic and random generator
  35.       ª ª ª            ª ª ª   routines
  36.       ª ª ªhostfile.BATª ª ª - The original host file
  37.       ª ª ªZAGL        ª ª ª - Virus data file
  38.       ª ª ªRULZ        ª ª ª - Virus data file
  39.       ª ª ªFINAL.BAT   ª ª ª - Deletes the temporary files and subdirectory
  40.       ª ª +------------+ ª ª
  41.       ª +----------------+ ª
  42.       +--------------------+
  43.  
  44.      Header1 contains five commands that are selected from several
  45.      variants and have different lengths, for example:
  46.  
  47.       @echo off                           @EcHo OfF
  48.       rem arj e %0 %compec% -g5           rem COMMAND.COM nul /carj x %0 -g1
  49.       C:\COMMAND.COM nul /carj x %0 -g2   %comspec% nul /c arj e HOST.BAT -g3
  50.       :nul arj x %0 -g7 C:\COMMAND.COM    :echo C:\COMMAND.COM nul /carj x %0
  51.       w HOST.BAT                          i HOST.BAT
  52.  
  53.      The ARJ archive is encrypted with a random selected password, so
  54.      the virus does not contain constant bytes, and as a result it is
  55.      the first known polymorphic BAT virus.
  56.  
  57.      When executed, the virus (header1) runs ARJ archiver, extracts
  58.      the second part (BAT file) and executes it. The code of second
  59.      part creates the temporary directory, extracts the files from the
  60.      second archive to the temporary directory, then runs the
  61.      searching, infecting and polymorphic routines, then executed the
  62.      host file and deletes the temporary files and temporary
  63.      directory.
  64.  
  65.      The code of the virus contains only the text strings. There are
  66.      the comments:
  67.  
  68.      : Death Virii Crew  &  Stealth Group World Wide
  69.      :            P R E S E N T S
  70.      :       First Mutation Engine for BAT !
  71.      :              Without ASM !
  72.      :      [BATalia6] & FMEB (c) by Reminder
  73.  
  74.      :              //         __                  _
  75.      : +--------  /// ------+ ___     Magazine     _    for VirMakers
  76.      : ª+++-++- // // -+-+++ª ___ ________________ _ ___________________ _ ________
  77.      : ª++ ª ª /////  ª ª ªªª  __ ___ ___ ___ ___ ___ ___ ___    ª _ ___ _ ___ ___
  78.      : ª++ - +  ///// ++- ++ª   _ _ _ __  __  _    _  __  _ _    _ _ _ _ _ _   _
  79.      : +------ // // -------+   _ _ _ _   ___ ___  _  ___ ___     __ ___ _ ___ ____
  80.      : GROUP  // // WORLDWIDE   _ _________________ _______________________________
  81.      :
  82.      : Box 10, Kiev   252148
  83.      : Box 15, Moscow 125080
  84.      : Box 11, Lutsk  263020
  85.      :
  86.      :               R E A D    I N F E C T E D    V O I C E
  87.      :
  88.      :                                             (c) by Reminder (May 22, 1996)
  89.  
  90.