home *** CD-ROM | disk | FTP | other *** search
/ Collection of Hack-Phreak Scene Programs / cleanhpvac.zip / cleanhpvac / CASIOCOL.ZIP / KRILE1E.ZIP / KRILE.NFO < prev   
Text File  |  1997-12-29  |  9KB  |  157 lines
  1. Virus Author: RAiD - [SLAM] Written on December 29th, 1997
  2. Virus Name  : KRiLE v1.0e [Official Release!]
  3. Virus Target: .EXE and .COM *multi-os* (see below)
  4. Virus Size..: 5831 bytes.
  5. Target OS...: KRiLE is a multi-OS virus. Meaning, any .EXE or .COM file
  6.               on Win3.x/MsDos/Win95/WinNT/Os2Warp are capable of not
  7.               only being infected, but still operating as if nothing had
  8.               happened.
  9. Virus Info..: KRiLE is an HLL virus, which makes use of some pure ASM
  10.               functions included for size and speed. Since KRiLE is an
  11.               HLL, it provides automatic shielding against hueristic
  12.               analysis, but does not in any way damage KRiLE's ability
  13.               to spread. KRiLE is system friendly in the sense it will
  14.               avoid the following files to prevent any possible system
  15.               lockups and/or program failures, which could lead to the
  16.               premature detection of this virus.
  17.               [command.com, start.exe, emm386.exe, mouse.com(exe),
  18.                mscdex.exe, setver.exe, dos4gw.exe, explorer.exe,
  19.                smartdrv.exe] KRiLE accesses files in a network or
  20.               multi-tasking friendly manner, so as not to cause failure
  21.               loading programs, which could tip the user to a possible
  22.               virus related problem. (please see the section How KRiLE
  23.               infects below for more detailed information)
  24.  
  25. Encryption..: The entire KRiLE virus and files it infects are/will be stored
  26.               in an encrypted format. NEW: Each infection of krile will be
  27.               different for the host. :)
  28.  
  29. PayLoad.....: Good viruses usually contain some form of a payload. KRiLE is
  30.               no exception to this rule! KRiLE contains a siren effect
  31.               which it might trigger before control is passed back to the host
  32.               or it may decide not to trigger. KRiLE also contains a short
  33.               encrypted message to infected users, and AV. :)  This
  34.               doesn't imply that KRiLE should be considered a good virus
  35.               though. Some people will baulk because it's not pure ASM.
  36.               Oh well, can't please everyone.
  37.               
  38. Stealth.....: Some stealth is performed to keep the executing file from
  39.               noticing any changes. As memory-image checking files are
  40.               rare, this method should be fine. In fact, I have yet to
  41.               find one program which will detect it has been infected by
  42.               KRiLE. (I've infected all kinds of files for testing
  43.               purposes. I even infected f-prot v2.28. <g>)
  44.  
  45. How does KRiLE infect?
  46.  
  47. KRiLE is a direct action prepending virus. This said, it will randomly choose
  48. based on how many directories were found via PATH statement to scan for
  49. victims. Once it chooses a directory, it will decide to infect between 1
  50. and 2 exe/com files inside that directory. This version of KRiLE attracts
  51. less to NAV and TBFILE if they happen to be resident, by renaming the file
  52. just before infection to some odd name (not exe/com), this way, resident
  53. scanners won't report modifications to Exe/Com files. We restore the filename
  54. right after :)
  55.  
  56. KRiLE contains minimal bait-file avoidance programming. Basically, the
  57. only exe/com files KRiLE will consider to be bait and not bother with
  58. are files which are not KRiLE's size or larger.
  59.  
  60. KRiLE also polls for checksum files created by Thunderbyte, CPAV, MSAV and
  61. VSAFE. If these files are found, they are quickly destroyed. VSAFE if loaded
  62. will be bypassed during the execution of KRiLE. The infected user will not
  63. be aware of any of this. KRiLE doesn't currently poll for NAV checksum files
  64. since I don't have NAV to study. If this turns out to be something important
  65. I'll add it, otherwise, I don't care.
  66.  
  67. Although a win 3.x series (NE) file can be infected by KRiLE, it will no longer
  68. run properly unless it's run under Win95/NT. If you run an NE file on win3.x,
  69. KRiLE will still spread, but shortly after executing windows will say this
  70. file is not windows based. This problem does not occur on win95/nt or os/2
  71. based operating systems.
  72.  
  73. This virus is well armored against heuristic scanning and repair. Thunderbyte
  74. Anti-virus is tricked into corrupting an infected file if you attempt to
  75. use TBCLEAN. KRiLE has been tested against the following anti-virus
  76. programs: FPROT, AVP, FINDVIRU, MCAFEE, NORTON, and Integrity Master.
  77.  
  78. KRiLE has been tested against TBSCAN v8.03, The only flags triggered:
  79. c?. Hardly enough to warn or scare a user :)
  80.  
  81. Greetz:
  82.  
  83. [SLAM] - Official release! Works fine under WinNT FAT/NTFS(will  only infect
  84.          files the user is allowed under NTFS)
  85.  
  86. #Virus - Greetz To pawk,mef,yosha,vdeamon,marc,unknown,warblade,polt,prom,etc
  87.          This one should prove a little more interesting :)
  88.  
  89. Microsoft - WinNT..I support you now :)
  90. Mcafee    - Couldnt remove KRiLE v1.0c? Boy, you'll hate this one :)
  91.  
  92. To all VX related:
  93. Those of you who think my viruses suck, Oh well. I really don't care
  94. what you think. Those of you who think i'm an asshole,  Good. I don't
  95. care who or how many scum sucking lamers i infect. I'm doing the world
  96. a favor removing dipshits like that.
  97.  
  98. To all AV related:
  99. Blow Me. I'm coding more of these fuckers then U shitheads know what to do
  100. with. Go ahead, put it on some auto analyzing machine. hehe
  101. Except this time, atleast TRY to get your "Virus Description" information
  102. right. It's annoying looking over your work, counting your pathetic errors
  103. and for once, Wise up, These viruses aren't going to go away Just because
  104. you don't name them as what they are. Lame asses.
  105.  
  106. VX Ezines are welcome to publish the exe and/or this nfo file if they want.
  107. Source code will no longer be given out. You already know what it looks like
  108. anyway. And if by some small chance you don't, Find someone who has older
  109. source code to look at. Get a good laugh out of it. Hell, I laugh
  110. everytime I infect someone.
  111.  
  112. This is also an experimental KRiLE.. as such, it might fuckup on occasion.
  113. Too bad.
  114.  
  115. Revision History:
  116. KRiLE v1.0  - First KRiLE on the scene, Used old internal decryptor and
  117.               LZEXE to maintain compression. Was easily caught and payloads
  118.               went off often.
  119. KRiLE v1.0a - Second release, Minor bug fixes, experimental crypto engine.
  120. KRiLE v1.0b - Added randomness for dirs and files, trying to speed it up
  121.               changed compressor again.
  122. KRiLE v1.0c - More randomness, added code to try and avoid tbfile/nav, also
  123.               changed compressor/encryptor and various encryption sequences
  124.               withen KRiLE. KRiLE uses about 30k less then all previous
  125.               varients, due to more efficient coding and change of
  126.               compression. Occasionally, Previous varients would infect
  127.               files that they shouldn't have. This has been corrected.
  128. KRiLE v1.0d - Streamlined encryption/compression yet again. (seems I'm always
  129.               fucking with this part) Added a special Fuck U payload. And
  130.               made this version of KRiLE a bit smaller then the last, By
  131.               350 bytes or so. Changed docs a bit, to reflect my mood.
  132.               If anyone is pissed off by this, Waaaa.
  133. KRiLE v1.0e - This one is very experimental..I've changed the way it
  134.               passes control to the host, Hopefully making KRiLE
  135.               compatable with ALL winNT based systems. the side effect,
  136.               This different method eats a little more ram. A trade-off
  137.               I suppose. Oh well. Also, This new method is a little bit
  138.               faster as well. And Should stop those odd system lockups
  139.               I've heard about. DOS based programs which are intense
  140.               memory hogs may (depending on the users system) fail to
  141.               run, exiting with not enough memory.
  142. KRiLE v1.0eF  The OFFICIAL v1.0e release! KRiLE now encrypts the host data
  143.               differently for each host! KRiLE can generate thousands of
  144.               different host data encryptions! Also uses less ram..:)
  145.  
  146. Send me your hate mail, complaints, comments etc! I'd like to read what
  147. you have to say about this or any other virus of mine. Don't email
  148. asking for source code. I've already sent the source code all over the
  149. place, Look around for it. If you know where to look, you can find an
  150. email address for me. Is whatever you have to say worth it? :)
  151.  
  152. By all means, use whatever methods you know/can to spread this virus into
  153. as many unsuspecting users as possible. If it means taking a network offline
  154. fine by me. A local BBS will provide some entertainment :)
  155.  
  156. "If ignorance is bliss, Why aren't you smiling?"
  157.