home *** CD-ROM | disk | FTP | other *** search
/ Collection of Hack-Phreak Scene Programs / cleanhpvac.zip / cleanhpvac / CASIOCOL.ZIP / KRILE1D.ZIP / KRILE.NFO < prev    next >
Text File  |  1997-12-09  |  9KB  |  158 lines
  1. Virus Author: RAiD - [SLAM] Written on December 9th, 1997
  2. Virus Name  : KRiLE v1.0d [Experimental B-Depressed]
  3. Virus Target: .EXE and .COM *multi-os* (see below)
  4. Virus Size..: 5504 bytes.
  5. Target OS...: KRiLE is a multi-OS virus. Meaning, any .EXE or .COM file
  6.               on Win3.x/MsDos/Win95/WinNT/Os2Warp are capable of not
  7.               only being infected, but still operating as if nothing had
  8.               happened.
  9. Virus Info..: KRiLE is an HLL virus, which makes use of some pure ASM
  10.               functions included for size and speed. Since KRiLE is an
  11.               HLL, it provides automatic shielding against hueristic
  12.               analysis, but does not in any way damage KRiLE's ability
  13.               to spread. KRiLE is system friendly in the sense it will
  14.               avoid the following files to prevent any possible system
  15.               lockups and/or program failures, which could lead to the
  16.               premature detection of this virus.
  17.               [command.com, start.exe, emm386.exe, mouse.com(exe),
  18.                mscdex.exe, setver.exe, dos4gw.exe, explorer.exe,
  19.                smartdrv.exe] KRiLE accesses files in a network or
  20.               multi-tasking friendly manner, so as not to cause failure
  21.               loading programs, which could tip the user to a possible
  22.               virus related problem. (please see the section How KRiLE
  23.               infects below for more detailed information)
  24.  
  25. Encryption..: The entire KRiLE virus and files it infects are/will be stored
  26.               in an encrypted format.
  27.  
  28. PayLoad.....: Good viruses usually contain some form of a payload. KRiLE is
  29.               no exception to this rule! KRiLE contains a siren effect
  30.               which it might trigger before control is passed back to the host
  31.               or it may decide not to trigger. KRiLE also contains a short
  32.               encrypted message to infected users, and AV. :)  This
  33.               doesn't imply that KRiLE should be considered a good virus
  34.               though. Some people will baulk because it's not pure ASM.
  35.               Oh well, can't please everyone.
  36.               
  37. Stealth.....: Some stealth is performed to keep the executing file from
  38.               noticing any changes. As memory-image checking files are
  39.               rare, this method should be fine. In fact, I have yet to
  40.               find one program which will detect it has been infected by
  41.               KRiLE. (I've infected all kinds of files for testing
  42.               purposes. I even infected f-prot v2.28. <g>)
  43.  
  44. How does KRiLE infect?
  45.  
  46. KRiLE is a direct action prepending virus. This said, it will randomly choose
  47. based on how many directories were found via PATH statement to scan for
  48. victims. Once it chooses a directory, it will decide to infect between 1
  49. and 2 exe/com files inside that directory. This version of KRiLE attracts
  50. less to NAV and TBFILE if they happen to be resident, by renaming the file
  51. just before infection to some odd name (not exe/com), this way, resident
  52. scanners won't report modifications to Exe/Com files. We restore the filename
  53. right after :)
  54.  
  55. KRiLE contains minimal bait-file avoidance programming. Basically, the
  56. only exe/com files KRiLE will consider to be bait and not bother with
  57. are files which are not KRiLE's size or larger.
  58.  
  59. KRiLE also polls for checksum files created by Thunderbyte, CPAV, MSAV and
  60. VSAFE. If these files are found, they are quickly destroyed. VSAFE if loaded
  61. will be bypassed during the execution of KRiLE. The infected user will not
  62. be aware of any of this. KRiLE doesn't currently poll for NAV checksum files
  63. since I don't have NAV to study. If this turns out to be something important
  64. I'll add it, otherwise, I don't care.
  65.  
  66. Although a win 3.x series (NE) file can be infected by KRiLE, it will no longer
  67. run properly unless it's run under Win95/NT. If you run an NE file on win3.x,
  68. KRiLE will still spread, but shortly after executing windows will say this
  69. file is not windows based. This problem does not occur on win95/nt or os/2
  70. based operating systems.
  71.  
  72. This virus is well armored against heuristic scanning and repair. Thunderbyte
  73. Anti-virus is tricked into corrupting an infected file if you attempt to
  74. use TBCLEAN. KRiLE has been tested against the following anti-virus
  75. programs: FPROT, AVP, FINDVIRU, MCAFEE, NORTON, and Integrity Master.
  76.  
  77. KRiLE has been tested against TBSCAN v8.03, The only flags triggered:
  78. c?. Hardly enough to warn or scare a user :)
  79.  
  80. Greetz:
  81.  
  82. [SLAM] - This is KRiLE 5.. The most advanced one so far. Well advanced
  83.          as an HLL can be. This may also be the final KRiLE, and possibly
  84.          the last virus i'll be writing due to problems in RL. But who
  85.          knows, I am consumed with writing them... Maybe, I'll write some
  86.          more just to piss off certain people.
  87.  
  88. #Virus - As one of you mentioned, I'm consumed with writing my "Shitty"
  89.          viruses. And if you don't like that, Too fucking bad.
  90.          Not everyone writes viruses just to say, "Yea I did it" I write
  91.          them for the sole purpose of wreaking havoc. Those of you who
  92.          have (heh) morals, FUck you! I don't give a flying fuck who I
  93.          infect. The more the better. Those of you who don't like this,
  94.          probably shouldn't be coding or being in #virus to begin with.
  95.  
  96. Microsoft - Blah, Your OS sucks balls
  97. Mcafee    - Still sig based scanning? Blah..
  98.  
  99. To all VX related:
  100. Those of you who think my viruses suck, Oh well. I really don't care
  101. what you think. Those of you who think i'm an asshole,  Good. I don't
  102. care who or how many scum sucking lamers i infect. I'm doing the world
  103. a favor removing dipshits like that.
  104.  
  105. To all AV related:
  106. Blow Me. I'm coding more of these fuckers then U shitheads know what to do
  107. with. Go ahead, put it on some auto analyzing machine. hehe
  108. Except this time, atleast TRY to get your "Virus Description" information
  109. right. It's annoying looking over your work, counting your pathetic errors
  110. and for once, Wise up, These viruses aren't going to go away Just because
  111. you don't name them as what they are. Lame asses.
  112.  
  113. VX Ezines are welcome to publish the exe and/or this nfo file if they want.
  114. Source code will no longer be given out. You already know what it looks like
  115. anyway. And if by some small chance you don't, Find someone who has older
  116. source code to look at. Get a good laugh out of it. Hell, I laugh
  117. everytime I infect someone.
  118.  
  119. This is also an experimental KRiLE.. as such, it might fuckup on occasion.
  120. Too bad.
  121.  
  122. Revision History:
  123. KRiLE v1.0  - First KRiLE on the scene, Used old internal decryptor and
  124.               LZEXE to maintain compression. Was easily caught and payloads
  125.               went off often.
  126. KRiLE v1.0a - Second release, Minor bug fixes, experimental crypto engine.
  127. KRiLE v1.0b - Added randomness for dirs and files, trying to speed it up
  128.               changed compressor again.
  129. KRiLE v1.0c - More randomness, added code to try and avoid tbfile/nav, also
  130.               changed compressor/encryptor and various encryption sequences
  131.               withen KRiLE. KRiLE uses about 30k less then all previous
  132.               varients, due to more efficient coding and change of
  133.               compression. Occasionally, Previous varients would infect
  134.               files that they shouldn't have. This has been corrected.
  135. KRiLE v1.0d - Streamlined encryption/compression yet again. (seems I'm always
  136.               fucking with this part) Added a special Fuck U payload. And
  137.               made this version of KRiLE a bit smaller then the last, By
  138.               350 bytes or so. Changed docs a bit, to reflect my mood.
  139.               If anyone is pissed off by this, Waaaa.
  140.  
  141. Yea KRiLE isn't a real speed demon either, so i'm told. Although, I did
  142. infect some stuff on a Cyrix 166 and it was instant (under win95). So,
  143. I don't know wtf you guys are running. Hell, it ran fast on a p100.
  144. Basically, if your just going to bitch about how slow it runs, FUck U, I
  145. don't want to hear it. Code something better then.
  146.  
  147. Send me your hate mail, complaints, comments etc! I'd like to read what
  148. you have to say about this or any other virus of mine. Don't email
  149. asking for source code. I've already sent the source code all over the
  150. place, Look around for it. If you know where to look, you can find an
  151. email address for me. Is whatever you have to say worth it? :)
  152.  
  153. By all means, use whatever methods you know/can to spread this virus into
  154. as many unsuspecting users as possible. If it means taking a network offline
  155. fine by me. A local BBS will provide some entertainment :)
  156.  
  157. "If ignorance is bliss, Why aren't you smiling?"
  158.