home *** CD-ROM | disk | FTP | other *** search
/ Collection of Hack-Phreak Scene Programs / cleanhpvac.zip / cleanhpvac / CASIOCOL.ZIP / KRILE1A.ZIP / KRILE.NFO < prev    next >
Text File  |  1997-11-28  |  7KB  |  126 lines
  1. Virus Author: RAiD - [SLAM] Written on November 27-28, 1997
  2. Virus Name  : KRiLE v1.0a  -Thanksgiving Version- hehehe
  3. Virus Target: .EXE and .COM *multi-os* (see below)
  4. Virus Size..: 4592 bytes exactly. Yes, large for a virus, But this
  5.               is an HLL after all. :)
  6. Target OS...: KRiLE is a multi-OS virus. Meaning, any .EXE or .COM file
  7.               on Win3.x/MsDos/Win95/WinNT/Os2Warp are capable of not
  8.               only being infected, but still operating as if nothing had
  9.               happened.
  10. Virus Info..: KRiLE is an HLL virus, which makes use of some pure ASM
  11.               functions included for size and speed. Since KRiLE is an
  12.               HLL, it provides automatic shielding against hueristic
  13.               analysis, but does not in any way damage KRiLE's ability
  14.               to spread. KRiLE is system friendly in the sense it will
  15.               avoid the following files to prevent any possible system
  16.               lockups and/or program failures, which could lead to the
  17.               premature detection of this virus.
  18.               [command.com, start.exe, emm386.exe, mouse.com(exe),
  19.                mscdex.exe, setver.exe, dos4gw.exe, explorer.exe,
  20.                smartdrv.exe] KRiLE accesses files in a network or
  21.               multi-tasking friendly manner, so as not to cause failure
  22.               loading programs, which could tip the user to a possible
  23.               virus related problem. KRiLE also randomly selects between
  24.               1 and 4 files to infect per directory located via PATH per
  25.               run. This allows KRiLE to do its thing faster, and arrouse
  26.               less suspicion to program load times. On the other hand,
  27.               KRiLE will not massively infect a host system, atleast
  28.               not at first. Unlike all other viruses I have written,
  29.               KRiLE uses 10k *less* ram! Including KRiLE v1.0! This
  30.               version makes better use of ram it needs, no more wasting
  31.               space! :)
  32.  
  33. Encryption..: KRiLE now makes use of compression and real-full encryption
  34.               via another compressor/encryptor, Not LzExe. KRiLE uses
  35.               a simple, yet fast encryption/decryption algorithm for files
  36.               it infects. Knowledge of assembly would be required in order
  37.               to break the encryption algorithm KRiLE now uses. This version
  38.               of KRiLE no longer contains an internal text decryptor, since
  39.               the compressor used encrypted KRiLE's text already, and
  40.               decrypts it in memory at run-time. A rather nice trade off for
  41.               slightly larger resulting files.
  42.  
  43. PayLoad.....: KRiLE has two payloads, one being a unique siren which can
  44.               go-off randomly, but will always go-off before control
  45.               is passed to the host, that is, if it does trigger. The other
  46.               payload is also random, which displays a short message:
  47.          "■KRiLE■ v1.0a Thought you got me eh? :> coded by RAiD UsA [SLAM]97"
  48.               Each payload may go-off either before or after the original
  49.               program has executed. KRiLE has *no* destructive payloads of
  50.               any kind. I do not support intentional destruction, besides
  51.               formatting a hard-disk is not considered a new thing among
  52.               virus coders. Each payload has a 1:256 chance of going
  53.               off. This keeps the chance of virus discovery to a minimum
  54.               since either payload will rarely occur. In fact, testing
  55.               over 2 hours to ensure KRiLE worked as designed, the siren
  56.               only sounded once. This version of KRiLE contains a different
  57.               siren effect then v1.0 does.
  58.  
  59.  
  60. Stealth.....: Some stealth is performed to keep the executing file from
  61.               noticing any changes. As memory-image checking files are
  62.               rare, this method should be fine.
  63.  
  64. KRiLE infects its host via the following:
  65. 1. Search for files inside any directories found via the PATH variable.
  66. 2. Search for files in current directory
  67. 3. Pass control to host
  68. 4. Search current directory again - The infected host might have created
  69.    more .exe and/or .com files. pkunzip.exe is an example of a host
  70.    which might do this.
  71.  
  72. KRiLE also polls for checksum files created by Thunderbyte, CPAV, MSAV and
  73. VSAFE. If these files are found, they are quickly destroyed. VSAFE if loaded
  74. will be bypassed during the execution of KRiLE. The infected user will not
  75. be aware of any of this.
  76.  
  77. Although a win 3.x series (NE) file can be infected by KRiLE, it will no longer
  78. run properly unless it's run under Win95/NT. If you run an NE file on win3.x,
  79. KRiLE will still spread, but shortly after executing windows will say this
  80. file is not windows based. This problem does not occur on win95/nt or os/2
  81. based operating systems.
  82.  
  83. This virus is well armored against heuristic scanning and repair. Thunderbyte
  84. Anti-virus is tricked into corrupting an infected file if you attempt to
  85. use TBCLEAN. KRiLE has been tested against the following anti-virus
  86. programs: FPROT, AVP, FINDVIRU, MCAFEE, TBAV, NORTON, and Integrity Master.
  87.  
  88. Greetz:
  89.  
  90. [SLAM] - This one's for you! Enjoy it, and I'll be coding more of these
  91.          HLL viruses you have come to know me by. <G> Special thanks to
  92.          VDaemon, who told me not to give up my HLL viruses. <G>
  93. #Virus - ReAll! This is yet another HLL creation of mine, except it's
  94.          alot faster at what it does. Speed is an issue, and since KRiLE
  95.          is 4k, the faster it can infect the better, eh? :)
  96.  
  97. To all VX related:
  98. Yep, that's right! Another KRiLE. I consider this one to be an experimental
  99. one. Since I've made a few rather odd changes to it. Based on the responses
  100. I get about this one, will decide wether I continue to use the new methods
  101. or result to KRiLE v1.0 based methods. :)
  102.  
  103. To all AV related:
  104. If I stick with these methods, You guys aren't going to be happy!
  105. I can easily make about 200 different KRiLEs with ease now. :)
  106.  
  107. Anyone who wants to see how this virus works, heh, Debug it. KRiLE is
  108. hard-coded for it's size, so don't expect it to work if you reverse the
  109. exe compression. It'll *try* to replicate, but it won't make
  110. working-offspring. <Shrug>
  111.  
  112. Also, this is a 1st generation sample. It will self-corrupt once its
  113. executed, so be sure to set a bait file atleast as large as the virus to
  114. infect. Otherwise, you won't have a sample of the virus to play with.
  115.  
  116. This probably goes without saying, but, Be damn careful with this thing.
  117. During coding and (shudder) testing (eeek!) the virus did manage to get
  118. loose. Fortunatly, there were no encryption errors of my infected files,
  119. so I was able to restore them shortly there after. Do not let this happen
  120. to you. You don't have the benefit of the source code to look at.  :)
  121.  
  122. And, if you think a virus *never* infects it's author, Your ahem, How shall
  123. I put this... Wrong! :) Coding these is fun, testing is not so fun. :)
  124.  
  125. "If ignorance is bliss, Why aren't you smiling?"
  126.