home *** CD-ROM | disk | FTP | other *** search

---

/ Collection of Hack-Phreak Scene Programs / cleanhpvac.zip / cleanhpvac / CPI1.ZIP / CPI-1

next >

Wrap

Text File  |  1994-09-26  |  20KB  |  369 lines

---

1.                Computer Viruses - A Protagonist's Point Of View
2.            -----===] CORRUPTED PROGRAMMING INTERNATIONAL [===-----
3.  
4.                             == CPI Newsletter #1 ==
5.                     [ Article Written By Doctor Dissector ]
6.                            Released : June 30, 1989
7.  
8.                            Call The CPI Headquarters
9.                                  619-566-7093
10.                         1200/2400 Baud :: Open 24 Hours
11.  
12.  
13.  
14.                               [1.1] Introduction:
15.                               -------------------
16.  
17.       Welcome  to  "Computer  Viruses  - A Protagonist's Point Of View." This
18.  letter,  perhaps  the  beginning of a small newsletter. Well, this "letter,"
19.  is  written  by  one person right now, maybe I'll get some people to send in
20.  more  info,  ideas,  and  examples  to CPI. If you would like to contribute,
21.  please  upload  text  files to CPI Headquarters (see heading for number) and
22.  leave a note to me telling me you are contributing to our magazine.
23.  
24.       Well,  as  an  overview,  this  article will cover a few topics dealing
25.  with  viruses; however, there will be no examples covered as we are short of
26.  programmers  at  the  moment. That reminds me, if you would like to become a
27.  member  of  CPI, fill out the accompanying text file and upload it to CPI HQ
28.  as  an upload to the Sysop, then leave me and the Sysop some mail to tell us
29.  you  registered  to  become  a  member.  We  will get back to you as soon as
30.  possible.
31.  
32.       The  purpose  of  this  magazine  is  to expand and broaden the general
33.  computer  user's  view and knowledge of the dreadful computer Virus, as well
34.  as  a  bit  on  Trojans  (not  the hardware, the SOFTWARE!). Then, after the
35.  knowledge  of  these  computer  crackers  is  better  understood, the second
36.  purpose  of  this  newsletter  is  to  teach  both methods of developing and
37.  executing  a  better  virus/trojan.  We, CPI, feel viruses and trojans are a
38.  vital  part  of  the  computer  world,  and should stand along the trades of
39.  hacking,  phreaking, cracking, pirating, and pyro as an equal, not something
40.  to be looked down upon (unless you are hit by one...).
41.  
42.       In  the  future,  we  hope CPI will grow and spread, just like a virus,
43.  and  encompass  a large domain of the crackers, hackers, and other elite out
44.  there  so  that  the  life  of  this group will be maintained, and that this
45.  newsletter,  hopefully,  won't  be  the only issue to be released during the
46.  group's existence.
47.  
48.       Also, please note that this  newsletter is purely for the spread of new
49.  ideas and to educate  the reader of this "new" software technonlogy, and the
50.  document, and  the  author  of the document  do not encourage or support any
51.  illegal  use  of  the  information  contained,  and  the  reader  is  solely
52.  responsible for their actions after aquiring this document.
53.  
54.                                              Doctor Dissector
55.                                              CPI/ANE/TPH Author/Editor
56.                                              Phortune 500
57.  
58.   --[ Table Of Contents ]----------------------------------------------------
59.  
60.      Phile    Subject                                  Author
61.      -----    ---------------------------------------------------------
62.       1.1     Introduction & Table Of Contents.........Doctor Dissector
63.       1.2     Viruses- What, Where, Why, How...........Doctor Dissector
64.       1.3     Aspects Of Some Known Viruses............Doctor Dissector
65.       1.4     Ideas For Future Viruses.................Doctor Dissector
66.       1.5     Suggested Reading........................Doctor Dissector
67.       1.6     Conclusion...............................Doctor Dissector
68.       1.x     CPI Application..........................Doctor Dissector
69.  
70. Subject:  CPI Issue 1 2/6
71.  
72.  
73.      ----------------------------------------------------------------------
74.  
75.                       [1.2] Viruses- What, Where, Why, How
76.  
77.  
78.           If  you  are a beginner in this field, you may be curious to what
79.      a  virus/trojan  is.  Perhaps  you heard about it through some BBS, or
80.      known  someone  who had their system crashed by one. Well, this is for
81.      you.
82.  
83.           In  the  Trojan  War,  way  back  when,  there existed the Trojan
84.      Horse,  right? Well, nowadays, there is a modern version of the Trojan
85.      Horse  existing  is  software.  The  modern, computer, Trojan horse is
86.      really  simple,  a psychedelic hacker implants destructive code into a
87.      normal  (or  fake)  file.  This modified/fake file, when executed will
88.      destroy  or  remove  something  from the host computer, usually format
89.      the  hard  drive,  delete all files, or something similar. In order to
90.      distribute  the corrupt phile, the hacker goes and does one or more of
91.      various  things;  depending on how deranged this individual is (hehe).
92.      These things are covered in the following section.
93.  
94.           A  virus,  in  normal  terms  is an organism which spreads malign
95.      from  one  host  to  another,  transmitting  itself through biological
96.      lines  so  that  both  the  previous  host  and the future host become
97.      infected  with  the virus. Today, there are computer viruses, and just
98.      like  biological viruses, they spread from file to file, host to host,
99.      infecting  everything  it  "sees."  These  computer viruses can either
100.      destroy  the  code  it  infects immediately, or over a period of time,
101.      corrupt  or  damage  the  host  system it thrives upon. For example, a
102.      virus  hidden in a file on a BBS could be downloaded to a host system.
103.      Then,  the  user  who  downloaded it executes the file, which executes
104.      normally  (as  seen  by the operator), but at the same time, the virus
105.      attacks  other files, and infects them, so that each file owned by the
106.      user  becomes  infected  with the virus. Then, at a given time or when
107.      something  is fulfilled by the host system, the virus becomes a trojan
108.      and  destroys,  encrypts, or damages everything available, infected or
109.      un-infected.  In  general,  a  virus is a timed trojan that duplicates
110.      itself  to  other  files,  which, in effect sustains the virus's life-
111.      span  in  the  computer world, as more host systems are infiltrated by
112.      the disease.
113.  
114.           Now  that  I've given you a description of the computer virus and
115.      trojan, we can go onto more complex things... well, not really...
116.  
117.           Ok,  now, let's trace the life of a virus. A virus/trojan is born
118.      in  the  mind  of  some  hacker/programmer  that  decides  to  develop
119.      something   out   of   the   ordinary,  not  all  viruses/trojans  are
120.      destructive,  often, some are amusing! Anyway, the hacker programs the
121.      code  in  his/her  favorite  language;  viruses  can be developed with
122.      virtually  any  language,  BASIC,  Pascal,  C, Assembly, Machine Code,
123.      Batch  files,  and  many  more. Then, when the disease is complete and
124.      tested,  the  hacker intentionally infects or implants the code into a
125.      host  file,  a  file  that  would be executed by another un-suspecting
126.      user,  somewhere  out there. Then, the hacker does one or more of many
127.      things  to  distribute  his  baby.  The hacker can upload the infected
128.      file  to  a local BBS (or many local/LD BBS's), give the infected file
129.      to  a  computer  enemy,  upload the infected file to his/her workplace
130.      (if  desired...hehe),  or  execute  the  phile  on  spot,  on the host
131.      system.  Then,  the virus, gets downloaded or executed, it infiltrates
132.      the  host  system,  and  either  infects  other  files, or trashes the
133.      system  instantly.  Eventually,  the infected system's user gets smart
134.      and either trashes his system manually and starts fresh, or some mega-
135.      technical  user  attempts  to recover and remove the virus from all of
136.      the  infected files (a horrendous job). Then, the virus dies, or other
137.      host  systems that were previously infected continue, and accidentally
138.      upload  or  hand out infected files, spreading the disease. Isn't that
139.      neat?
140.  
141.           Now,  to  answer  your  questions;  I  already  explained  what a
142.      virus/trojan  is  and  how they are developed/destroyed. Now, where do
143.      these  suckers come from? Why, some hacker's computer room, of course!
144.      All  viruses  and  trojans  begin at some computer where some maniacal
145.      hacker  programs  the  code  and implants it somewhere. Then, you ask,
146.      why  do they do this? Why hack? Why phreak? Why make stupid pyro piles
147.      of  shit?  Think about it... This is an ART! Just like the rest. While
148.      Hacking  delivers  theft  of  services,  Phreaking  delivers  theft of
149.      services,  Cracking/Pirating  delivers theft of software and copyright
150.      law  breaks,  Pyro  delivers  unlawful  arson/explosives,  Viruses and
151.      Trojans  vandalize  (yes,  legally  it is vandalism and destruction of
152.      property)  computer  systems  and  files. Also, these are great to get
153.      back  at arch-computer enemies (for you computer nerds out there), and
154.      just  wreak  havoc  among  your computer community. Yeah, PHUN at it's
155.      best...
156.  
157.      ----------------------------------------------------------------------
158. Subject:  CPI Issue 1 3/6
159.  
160.  
161.      ----------------------------------------------------------------------
162.  
163.                        [1.3] Aspects Of Some Known Viruses
164.  
165.  
166.           Many  viruses  have  been  written  before and probably after you
167.      read  this article. A few names include the Israeli, Lehigh, Pakistani
168.      Brain,  Alameda,  dBase,  and  Screen.  Keep in mind that most viruses
169.      ONLY  infect COM and EXE files, and use the Operating System to spread
170.      their  disease.  Also,  many viruses execute their own code before the
171.      host  file  begins  execution,  so  after  the virus completes passive
172.      execution  (without  "going  off")  the  program will load and execute
173.      normally.
174.  
175.           Israeli  - This one is a TSR virus that, once executed, stayed in
176.      memory  and  infected  both COM and EXE files, affecting both HARD and
177.      FLOPPY  disks.  Once  executed, the virus finds a place to stay in the
178.      system's  memory  and upon each execution of a COM or EXE file, copies
179.      itself  onto the host phile. This one is very clever, before infecting
180.      the  file,  it  preserves  the  attributes  and date/time stamp on the
181.      file,  modifies  the  files attributes (removes READ only status so it
182.      can  write  on it), and then restores all previous values to the file.
183.      This  virus  takes very little space, and increases the host file size
184.      by  approximately  1800  bytes.  The trigger of this virus is the date
185.      Friday  the  13th.  This  trigger will cause the virus to either trash
186.      the  disk/s  or delete the files as you execute them, depending on the
187.      version. Whoever wrote this sure did a nice job....
188.  
189.           Lehigh  -  This one infects the COMMAND.COM file, which is always
190.      run  before bootup, so the system is ready for attack at EVERY bootup.
191.      It  hides  itself  via  TSR type and when any disk access is made, the
192.      TSR  checks  the  COMMAND.COM  to  see  if  it is infected. Then if it
193.      isn't,  it  infects  it,  and  adds  a  point to its counter. When the
194.      counter  reaches  4,  the  virus  causes  the disk to crash. This one,
195.      however,  can be stopped by making your COMMAND.COM Read-Only, and the
196.      date/time  stamp  is  not  preserved,  so  if  the  date/time stamp is
197.      recent,  one  could  be  infected  with  this  virus.  This  virus  is
198.      transferred  via  infected  floppy disks as well as a clean disk in an
199.      infected  system.  It can not infect other hosts via modem, unless the
200.      COMMAND.COM is the file being transferred.
201.  
202.           Pakistani  Brain  -  This one infects the boot sector of a floppy
203.      disk.  When  booting off of the disk, the virus becomes a TSR program,
204.      and  then  marks  an  unused portion of the disk as "bad sectors." The
205.      bad  sectors,  cannot be accessed by DOS. However, a disk directory of
206.      an  infected  disk  will show the volume label to be @ BRAIN. A CHKDSK
207.      will  find  a few bad sectors. When you do a directory of a clean disk
208.      on  an  infected  system, the disk will become infected. The virus has
209.      no  trigger  and  immediately  begins  to mark sectors bad even though
210.      they  are  good. Eventually, you will have nothing left except a bunch
211.      of  bad  sectors  and  no  disk  space. The virus itself has the ASCII
212.      written  into  it with the words "Welcome the the Dungeon" as well the
213.      names  of  the  supposed  authors of the virus, and address, telephone
214.      number,  and  a  few  other  lame  messages.  To inoculate your system
215.      against  this  virus,  just type 1234 at byte offset location 4 on the
216.      boot track (floppy disks).
217.  
218.           Alameda  -  This  virus  also infects the boot sector of the host
219.      system.  It  is  very  small  and  inhabits  ONE sector. This one only
220.      damages  floppy  disks.  If  you  boot from a diseased disk, the virus
221.      loads  itself  into  HIGH memory and during a warm boot, it remains in
222.      memory  and  infects  any  other  clean disks being booted from on the
223.      infected  system. It then replaces the boot track with the virus track
224.      and  replaces  the  boot  track  on the last track of the disk, so any
225.      data  located  on  the  last  track  is  corrupted.  All  floppy disks
226.      inserted  during  reboot can catch this virus. This virus only infects
227.      IBM PC's and XT's, however, it does not infect 286's or 386's.
228.  
229.           dBase  -  This  one is a TSR virus that works in a manner similar
230.      to  the  Israeli  virus. It looks for files with a DBF extension, then
231.      it  replicates  itself in all DBF files, preserving file size, and all
232.      attributes.  After  the  first  90  days, the virus destroys your file
233.      allocation  table  and  corrupts all data in the DBF files. This virus
234.      creates  a  hidden  file,  BUG.DAT that indicates the bytes transposed
235.      (in  order to preserve file specifications). Run a CHKDSK to make sure
236.      you  don't  have  any  extra  hidden  files or a BUG.DAT in your dBase
237.      directory.  If  you  create a BUG.DAT file manually in your directory,
238.      making it read-only, you will be safe from this virus.
239.  
240.           Screen  -  This  one  is  another TSR virus that comes on and off
241.      periodically.  When  it is on, it examines the screen memory and looks
242.      for  any  4  digits  starting at a random place on the screen. Then it
243.      transposes  two  of  them,  this is not a good thing. It infects every
244.      COM  file  in  your  directory, HARD and FLOPPY disks can be infected.
245.      You  can  use  a  ASCII  searcher  to  check  if  you  are infected by
246.      searching  for  "InFeCt"  in your COM files. If you have this written,
247.      read  the  4  bytes immediately preceding it and overwrite the first 4
248.      bytes  of  the program with their value. Then, truncate the program at
249.      their  stored  address. You will rid yourself of this virus. Make sure
250.      you use a clean copy of you editor for this.
251.  
252.           Other  viruses  include  MAC, AMIGA, and many other environments.
253.      By  the way, other computer systems other than IBM/DOS may become part
254.      of CPI if you qualify.
255.  
256.           Anyway,  these  are  a few viruses I have read on and thus passed
257.      the  information  to  you, I hope you can learn from them and get some
258.      ideas for some.
259.  
260. Subject:  CPI Issue 1 4/6
261.  
262.  
263.      ----------------------------------------------------------------------
264.  
265.                          [1.4] Ideas For Future Viruses
266.  
267.  
268.           Since  I  have  covered  viruses  already in existence, lets talk
269.      about  viruses that can or may exist in the near future. These are not
270.      even   close   to   half  the  ideas  possible  for  destruction  with
271.      trojans/viruses  available,  but  will  pose as a challenge to you who
272.      are short of ideas.
273.  
274.           CSR  Virus  - A CMOS Stay Resident VIRUS that will implant itself
275.      in  the  CMOS  memory of the AT (286/386/486?) which will execute upon
276.      every bootup. This one would be VERY nice.
277.  
278.           Failsafe  Virus  - Preserves ALL attributes, Preserves file size,
279.      remains  TSR  but hidden to TSR location programs, Modifies attributes
280.      to  get  around  Read-Only  files, Infects ALL files (Not only COM and
281.      EXE),  encrypts  all  data  on  trigger  (irreversible)  but preserves
282.      original file size/attributes.
283.  
284.           Format  Virus - A virus which is TSR and when a DOS format or any
285.      other  FORMAT  type  of call is called, will FORMAT every other track,
286.      but will not allow DOS to notice.
287.  
288.           Write  Virus  -  A  virus  that  intercepts  write to disk, which
289.      deletes the disk write, and marks sector as bad at write point.
290.  
291.           ASCII  Virus  -  Virus that would scramble ASCII text in any file
292.      at trigger.
293.  
294.           Low  Level  Format  Virus  -  Virus  that  low level formats (BAD
295.      format)  HD  in background with data still intact. I have seen regular
296.      background  LLF  programs,  and it keeps data in place, but it does it
297.      correctly... hmmm...?
298.  
299.           Hide Virus - A Virus that hides files slowly.
300.  
301.           Crash  Virus - Virus that emulates typical system crashes/freezes
302.      occasionally.  Causes  BIOS to freeze and write BIOS ERROR messages on
303.      screen.
304.  
305.           Modem  Virus  -  One  that  remains  in  boot  sector and TSR and
306.      monitors  data  from  serial  ports,  puts in "artificial" line-noise.
307.      NICE!
308.  
309.           These  are  just  a  few  I  thought  up... these could be really
310.      good... Think of some more and call CPI HQ TODAY!
311.  
312. Subject:  CPI Issue 1 5/6
313.  
314.  
315.      ----------------------------------------------------------------------
316.  
317.                              [1.5] Suggested Reading
318.  
319.  
320.           The  following list is a compiled listing of some material I have
321.      read   as  well  as  other  sources  you  MIGHT  find  information  on
322.      concerning viruses and trojan horses. Happy trashing....
323.  
324.  
325.           "Know Thy Viral Enemy" by Ross M. Greenberg
326.            BYTE Magazine
327.            June 1989, pg 275-280
328.  
329.           "Viruses: Assembly, Pascal, BASIC & Batch" by Tesla Coil ][
330.            Phreakers And Hackers Underground Network Newsletter (PHUN)
331.            Issue #3, Volume 2, Phile #2
332.  
333.           "A Boot Sector Virus" by Southern Cross
334.            Phreakers And Hackers Underground Network Newsletter (PHUN)
335.            Issue #4, Volume 2, Phile #3
336.  
337.           "Computer Viruses: A High Tech Disease" by Abacus
338.            2600 Magazine
339.            Volume 5, Number 2
340.  
341. Subject:  CPI Issue 1 6/6
342.  
343.  
344.      ----------------------------------------------------------------------
345.  
346.                                 [1.6] Conclusion
347.  
348.  
349.           Thus   ends  the  first  issue  of  CPI's  "Computer  Viruses:  A
350.      Protagonist's  Point  Of  View." We hope you enjoyed it and we hope it
351.      was informative and complete (at least about the specific issues).
352.  
353.           We,  CPI,  hope that you will share your information and comments
354.      with  us  at  CPI  Headquarters,  as this newsletter will require both
355.      information  and  an expansion of our current member base. If you feel
356.      you  have  what  it takes to gather, read, or program for CPI, send us
357.      an application today.
358.  
359.           Oh  yeah, if  this  happens to be the only issue of CPI, oh well,
360.      and  many thanx to those who read it at least once, and enjoyed it (or
361.      laughed  at  it).  Until our (my?) next issue, have phun and don't get
362.      toooo wild......
363.  
364.  
365.  
366.  
367.       =====[ CPI Headquarters * 619-566-7093 * 1200/2400bps * 24Hrs ]=====
368.  
369.