home *** CD-ROM | disk | FTP | other *** search

---

/ Collection of Hack-Phreak Scene Programs / cleanhpvac.zip / cleanhpvac / CASIOCOL.ZIP / KRILE1.ZIP / KRILE.NFO

< prev

next >

Wrap

Text File  |  1997-11-20  |  5KB  |  102 lines

---

1. Virus Author: RAiD - [SLAM] Written on November 20, 1997
2. Virus Name  : KRiLE v1.0
3. Virus Target: .EXE and .COM *multi-os* (see below)
4. Virus Size..: 4537 bytes exactly.
5. Target OS...: KRiLE is a multi-OS virus. Meaning, any .EXE or .COM file
6.               on Win3.x/MsDos/Win95/WinNT/Os2Warp are capable of not
7.               only being infected, but still operating as if nothing had
8.               happened.
9. Virus Info..: KRiLE is an HLL virus, which makes use of some pure ASM
10.               functions included for size and speed. Since KRiLE is an
11.               HLL, it provides automatic shielding against hueristic
12.               analysis, but does not in any way damage KRiLE's ability
13.               to spread. KRiLE is system friendly in the sense it will
14.               avoid the following files to prevent any possible system
15.               lockups and/or program failures, which could lead to the
16.               premature detection of this virus.
17.               [command.com, start.exe, emm386.exe, mouse.com(exe),
18.                mscdex.exe, setver.exe, dos4gw.exe, explorer.exe,
19.                smartdrv.exe] KRiLE accesses files in a network or
20.               multi-tasking friendly manner, so as not to cause failure
21.               loading programs, which could tip the user to a possible
22.               virus related problem.
23.  
24. Encryption..: KRiLE has a decryptor for various text and configuration
25.               information (The decrypted data is NEVER written to disk!)
26.               KRiLE maintaines compression via LZEXE and internal encryption
27.               at all times. Using a search string for LZEXE files will cause
28.               many false alarms. <G> KRiLE also contains an encryption/
29.               decryption algorithm for the host data, although simple in
30.               design, Those not familiar with asm or debugging exes will
31.               have no luck disinfecting there files.
32.  
33. PayLoad.....: KRiLE has two payloads, one being a unique siren which can
34.               go-off randomly, but will always go-off before control
35.               is passed to the host, that is, if it does trigger. The other
36.               payload is also random, which displays a short message:
37.               "■KRiLE■ v1.0 It's time for revenge! coded by RAiD UsA [SLAM]97"
38.               Each payload may go-off either before or after the original
39.               program has executed. KRiLE has *no* destructive payloads of
40.               any kind. I do not support intentional destruction, besides
41.               formatting a hard-disk is not considered a new thing among
42.               virus coders. Each payload has a 1:256 chance of going
43.               off. This keeps the chance of virus discovery to a minimum
44.               since either payload will rarely occur.
45.  
46. Stealth.....: Some stealth is performed to keep the executing file from
47.               noticing any changes. As memory-image checking files are
48.               rare, this method should be fine.
49.  
50. KRiLE infects its host via the following:
51. 1. Search for files inside any directories found via the PATH variable.
52. 2. Search for files in current directory
53. 3. Pass control to host
54. 4. Search current directory again - The infected host might have created
55.    more .exe and/or .com files. pkunzip.exe is an example of a host
56.    which might do this.
57.  
58. KRiLE also polls for checksum files created by Thunderbyte, CPAV, MSAV and
59. VSAFE. If these files are found, they are quickly destroyed. VSAFE if loaded
60. will be bypassed during the execution of KRiLE. The infected user will not
61. be aware of any of this.
62.  
63. Although a win 3.x series (NE) file can be infected by KRiLE, it will no longer
64. run properly unless it's run under Win95/NT. If you run an NE file on win3.x,
65. KRiLE will still spread, but shortly after executing windows will say this
66. file is not windows based. This problem does not occur on win95/nt or os/2
67. based operating systems.
68.  
69. This virus is well armored against heuristic scanning and repair. Thunderbyte
70. Anti-virus is tricked into corrupting an infected file if you attempt to
71. use TBCLEAN. KRiLE has been tested against the following anti-virus
72. programs: FPROT, AVP, FINDVIRU, MCAFEE, TBAV, NORTON, and Integrity Master.
73.  
74. Greetz:
75.  
76. [SLAM] - This one's for you! Enjoy it, and I'll be coding more of these
77.          HLL viruses you have come to know me by. <G> Special thanks to
78.          VDaemon, who told me not to give up my HLL viruses. <G>
79. #Virus - ReAll! This is yet another HLL creation of mine, except it's
80.          alot faster at what it does. Speed is an issue, and since KRiLE
81.          is 4k, the faster it can infect the better, eh? :)
82.  
83. To all VX related:
84. It's me again, and i've returned from my er, vacation from the scene
85. with KRiLE. This will certainly annoy AV. :) and, this one is fast if I
86. do say so myself. <G> Yea, i changed my name, Yet Again. RAiD sounds
87. better. :)
88.  
89. To all AV related:
90. I'm Back <EG> Miss me? <heh>
91.  
92. Anyone who wants to see how this virus works, heh, Debug it. KRiLE is
93. hard-coded for it's size, so don't expect it to work if you reverse the
94. exe compression. It'll *try* to replicate, but it won't make
95. working-offspring. <Shrug>
96.  
97. Also, this is a 1st generation sample. It will self-corrupt once its
98. executed, so be sure to set a bait file atleast as large as the virus to
99. infect. Otherwise, you won't have a sample of the virus to play with.
100.  
101. "If ignorance is bliss, Why aren't you smiling?"
102.