home *** CD-ROM | disk | FTP | other *** search
/ Collection of Hack-Phreak Scene Programs / cleanhpvac.zip / cleanhpvac / CASIOCOL.ZIP / KRILE1B.ZIP / KRILE.NFO < prev    next >
Text File  |  1997-11-29  |  10KB  |  177 lines
  1. Note: I apologize beforehand the size of this nfo file. There is just so
  2. much I wanted to tell you about my virus. I'm rather proud of it. <G>
  3.  
  4. Virus Author: RAiD - [SLAM] Written on November 27, 28, and 29- 1997
  5. Virus Name  : KRiLE v1.0b [Randomizer Version]
  6. Virus Target: .EXE and .COM *multi-os* (see below)
  7. Virus Size..: 4608 bytes exactly. Yes, large for a virus, But this
  8.               is an HLL after all. An HLL with *very* unpredictable
  9.               infection targets.
  10. Target OS...: KRiLE is a multi-OS virus. Meaning, any .EXE or .COM file
  11.               on Win3.x/MsDos/Win95/WinNT/Os2Warp are capable of not
  12.               only being infected, but still operating as if nothing had
  13.               happened.
  14. Virus Info..: KRiLE is an HLL virus, which makes use of some pure ASM
  15.               functions included for size and speed. Since KRiLE is an
  16.               HLL, it provides automatic shielding against hueristic
  17.               analysis, but does not in any way damage KRiLE's ability
  18.               to spread. KRiLE is system friendly in the sense it will
  19.               avoid the following files to prevent any possible system
  20.               lockups and/or program failures, which could lead to the
  21.               premature detection of this virus.
  22.               [command.com, start.exe, emm386.exe, mouse.com(exe),
  23.                mscdex.exe, setver.exe, dos4gw.exe, explorer.exe,
  24.                smartdrv.exe] KRiLE accesses files in a network or
  25.               multi-tasking friendly manner, so as not to cause failure
  26.               loading programs, which could tip the user to a possible
  27.               virus related problem. (please see the section How KRiLE
  28.               infects below for more detailed information)
  29.  
  30. Encryption..: Since KRiLE is after-all an HLL, it had to be compressed
  31.               with a third-party compressor, which incidently completely
  32.               encrypts all aspects of KRiLE's internal code as well as text.
  33.               This does not hender KRiLE's abilities in the least! KRiLE
  34.               will also perform encryption on the file it's infecting.
  35.               Atleast minimal cryptography skill and/or asm skills
  36.               (to disassemble KRiLE's encryptor/decryptor) would be
  37.               required to manually disinfect an infected file. A task
  38.               which non-programmers are usually not capable of doing.
  39.  
  40. PayLoad.....: KRiLE has two payloads, one being a unique siren which can
  41.               go-off randomly, but will always go-off before control
  42.               is passed to the host, that is, if it does trigger. The other
  43.               payload is also random, which displays a short message:
  44.          "■KRiLE■ v1.0a Thought you got me eh? :> coded by RAiD UsA [SLAM]97"
  45.               Each payload may go-off either before or after the original
  46.               program has executed. KRiLE has *no* destructive payloads of
  47.               any kind. I do not support intentional destruction, besides
  48.               formatting a hard-disk is not considered a new thing among
  49.               virus coders. Each payload has a 1:256 chance of going
  50.               off. This keeps the chance of virus discovery to a minimum
  51.               since either payload will rarely occur. In fact, testing
  52.               over 2 hours to ensure KRiLE worked as designed, the siren
  53.               only sounded once.
  54.               
  55. Stealth.....: Some stealth is performed to keep the executing file from
  56.               noticing any changes. As memory-image checking files are
  57.               rare, this method should be fine. In fact, I have yet to
  58.               find one program which will detect it has been infected by
  59.               KRiLE. (I've infected all kinds of files for testing
  60.               purposes. I even infected f-prot v2.28. <g>)
  61.  
  62. How does KRiLE infect?
  63.  
  64. This release of KRiLE is something unique indeed! KRiLE now determines how
  65. many paths are defined via the PATH variable (if any). It then randomly
  66. decides how many paths it will scan for possible targets. As well as randomly
  67. deciding how many .com and how many .exe files it will choose to infect per
  68. path/directory. and lastly, KRiLE randomly chooses which paths out of the
  69. random total it has decided to infect. Of course, KRiLE will randomly
  70. decide how many files to infect in the current directory, Both before
  71. the host get's control and after! (This let's us catch atleast one
  72. exe/com file the host may have freshly created. IE: Archiving programs
  73. or assemblers or compilers). This makes KRiLE a *very* unpredictable virus.
  74. And *should* allow KRiLE to spread better (although less infections per run).
  75. To annoy and possibly confuse infected users and AV alike, the payload text
  76. is the same in v1.0a. The difference being, v1.0a pauses for about 5 seconds
  77. before returning control to the user, Where-as v1.0b does not pause.
  78.  
  79. KRiLE contains minimal bait-file avoidance programming. Basically, the
  80. only exe/com files KRiLE will consider to be bait and not bother with
  81. are files which are not KRiLE's size or larger.
  82.  
  83. KRiLE also polls for checksum files created by Thunderbyte, CPAV, MSAV and
  84. VSAFE. If these files are found, they are quickly destroyed. VSAFE if loaded
  85. will be bypassed during the execution of KRiLE. The infected user will not
  86. be aware of any of this.
  87.  
  88. Although a win 3.x series (NE) file can be infected by KRiLE, it will no longer
  89. run properly unless it's run under Win95/NT. If you run an NE file on win3.x,
  90. KRiLE will still spread, but shortly after executing windows will say this
  91. file is not windows based. This problem does not occur on win95/nt or os/2
  92. based operating systems.
  93.  
  94. This virus is well armored against heuristic scanning and repair. Thunderbyte
  95. Anti-virus is tricked into corrupting an infected file if you attempt to
  96. use TBCLEAN. KRiLE has been tested against the following anti-virus
  97. programs: FPROT, AVP, FINDVIRU, MCAFEE, NORTON, and Integrity Master.
  98.  
  99. KRiLE has not yet been tested against TBAV, however, it is my opinion,
  100. that thunderbyte is not used nearly as much as f-prot Mcafee and
  101. DrSolomon. Therefore, I don't care if TBAV suspects something.
  102. The TBCLEAN information above holds true no matter what TBSCAN detects!
  103.  
  104. Greetz:
  105.  
  106. [SLAM] - Can you tell I miss net access yet? <G> Well, I will return
  107.          soon! (atleast, I hope so!)
  108.  
  109. #Virus - Yea, I know. My skills don't compare with almost all of you.
  110.          Mainly because I don't yet code in pure ASM. But, with the way
  111.          new OSes are appearing and faster systems, I might not have too. :)
  112.          Besides, How often do you come across an odd fellow such as
  113.          myself? You must admit, I am a sadistic SoB. <EG>
  114.  
  115. Microsoft - If it weren't for your kind Win95 methods of controlling my
  116.             spawning, KRiLE wouldn't be near as infectious. As much as i
  117.             despise you Bill, Your shitty OS is making me one happy VXer!
  118.  
  119. To all VX related:
  120. That's 3 KRiLE viruses written by me now. :-) A family. Each one is
  121. hopefully an improvement over the previous version. Since as of writing
  122. these viruses I do not have any net access (this will change soon I
  123. hope). I've spent the time experimenting with different ways to make
  124. viruses. My goal is to eventually make KRiLE (hll) nearly as fast and
  125. unnoticed to an infected user as a pure ASM virus using the same
  126. techniques and methods. Will I accomplish my goal? Only many infected
  127. lamerz and possibly more varients will tell. <EG>
  128.  
  129. To all AV related:
  130. Oh, the sorrow and the annoyance I must cause. I know it takes longer to
  131. disect an HLL virus then it usually does to disect a pure ASM one.
  132. Aren't I an asshole? hahaha.
  133.  
  134. Anyone who wants to see how this virus works, heh, Debug it. KRiLE is
  135. hard-coded for it's size, so don't expect it to work if you reverse the
  136. exe compression. It'll *try* to replicate, but it won't make
  137. working-offspring. <Shrug>
  138.  
  139. Also, this is a 1st generation sample. It will self-corrupt once its
  140. executed, so be sure to set a bait file atleast as large as the virus to
  141. infect. Otherwise, you won't have a sample of the virus to play with.
  142.  
  143. This probably goes without saying, but, Be damn careful with this thing.
  144. During coding and (shudder) testing (eeek!) the virus did manage to get
  145. loose. Fortunatly, there were no encryption errors of my infected files,
  146. so I was able to restore them shortly there after. Do not let this happen
  147. to you. You don't have the benefit of the source code to look at.  :)
  148.  
  149. And, if you think a virus *never* infects it's author, Your ahem, How shall
  150. I put this... Wrong! :) Coding these is fun, testing is not so fun. :)
  151.  
  152. The following is something I just plain forgot to mention in the nfo'z
  153. for the previous KRiLE's. KRiLE uses a critical error handler with one
  154. strange side-effect. If by some remote chance KRiLE infects a file which
  155. does *not* have a critical error handler, the one built into KRiLE will
  156. remain active during the control passing to the host. What does this
  157. mean you might ask? KRiLE's critical error handler will provide critical
  158. error handling for the Host (while it's under KRiLE's control). This
  159. error handler will not interfere with programs containing there own
  160. critical error handler. So, knowing this you can determine if a file has
  161. been infected if it would display such errors as "Drive not ready Abort,
  162. Retry, Fail". if the same program no longer displays such errors when it
  163. did before, There's a very good chance KRiLE has infected the file, and
  164. is providing critical error handling for that file. And here's the most
  165. interesting part! KRiLE is *not* a TSR type virus. It's direct action
  166. only! Not bad eh? <G>
  167.  
  168. I haven't decided whether or not I will release the source code to this
  169. virus. If I do release the source, It will only be to certain
  170. individuals. VX Ezines are welcome to publish the exe and/or this nfo
  171. file if they want.
  172.  
  173. Until another creative idea pops into my head, Have phun and please (I'm
  174. begging here hehe) infect some files and pass them around!
  175.  
  176. "If ignorance is bliss, Why aren't you smiling?"
  177.