home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / CRYPT4.ZIP / CYRPTNL4.TXT
Text File  |  1992-11-07  |  8KB  |  160 lines
  1.  
  2.                 **********************************************
  3.                 The CryPt Newsletter: another in an occasional
  4.                                    series!
  5.                 **********************************************
  6.  
  7.  
  8.       NEWS! NEWS! NEWS!
  9.  
  10.       It's been an exciting summer at the Crypt!  With the procure-
  11.       ment of Nowhere Man's Virus Creation Laboratory, virus researchers
  12.       have much to do.
  13.  
  14.       The VCL is a revolutionary tool: an automated interface which
  15.       puts a comprehensive viral assembly library into the hands of
  16.       those who can benefit by it most.  Unlike the Mutation Engine
  17.       which has proven itself a thorny, un-user friendly development
  18.       with small utility (within two weeks of its widespread release,
  19.       most anti-virus scanners had been adjusted to catch it), the
  20.       VCL allows the determined virus programmer to create an almost
  21.       infinite variety of novel and troublesome programs, limited only
  22.       by his patience, dedication and imagination. Fuckin'-A! The
  23.                                                          VCL is fun!
  24.  
  25.       Preliminary study of the VCL by anti-virus researchers have 
  26.       prompted some to declare on the FidoNet virus echo that VCL
  27.       code will be easily countered.
  28.  
  29.       This is premature and easily defied.  F-PROT, one of the most efficient
  30.       of the current crop of scanners CAN detect some VCL variants
  31.       in "Secure Scan" and "Heuristic" mode.  However, "Secure Scan"
  32.       findings are easily patched by incorporation of encryption
  33.       routines in the raw code and "trapping" of the nascent virus
  34.       body in a small custom-made .COM 'host' shell.*  In "heuristic"
  35.       mode, F-PROT is dangerous - BUT only when the user 'knows' what
  36.       he is looking for!  In my experience, few users will even attempt
  37.       to use a "heuristic" mode on a regular basis. The reasons are
  38.       these: 1) 'Heuristic"+ is a big word and, so, it must be hard to
  39.       use (stupid, I know, but true!); and 2) The false positive rate
  40.       requires some interpretation (Lazy fucks deserve to be parasitized
  41.       by viruses - .Ed). 
  42.       
  43.       The same can be said for THUNDERBYTE's TBSCAN
  44.       which implements an even more aggressive form of heuristic
  45.       scanning.  Interpretation of shakey files is easy "when" 
  46.                                                          the user knows what he is looking for, 
  47.       more problemmatical when flying blind.  In addition,
  48.       TBSCAN isn't particularly user-friendly which means most potential
  49.       targets of viral attack won't have it in their arsenal. (Thank the
  50.       general level of incompetence in American society for this. Virology
  51.       is as much sociology as assembly, I say.)
  52.       
  53.       *[This is a simple stunt which suggested itself after reading
  54.        Mark Ludwig's "The Little Black Book of Computer Viruses"
  55.        (American Eagle Publishing, Tucson, AZ)]
  56.  
  57.       +['Heuristic' - all you have to know is that 'heuristic' means
  58.        F-PROT scans for certain 'patterns' of machine instruction:
  59.        resident services, self-modification, weird jump intructions,
  60.        discontinuous code sequences, garbage instructions, strange
  61.        memory entrance, illegal writes or formats to the
  62.        disk, etc.]
  63.  
  64.        IN THE MEAT OF THIS ISSUE:
  65.  
  66.        Two VCL-produced virus source-codes: DIARRHEA and DIARRHE6, which
  67.        demonstrate one of the nicer features of the VCL, ANSI screen
  68.        development and "dropper" routines.
  69.                                                    
  70.        DIARRHEA can be assembled with TASM and linked in the standard
  71.        manner. Place the assembled file on a floppy with SHELLT.COM 
  72.        [Included in this newsletter]. Ensure that SHELLT is in a different
  73.        directory for quickest results. Call the virus and it will 
  74.        promptly infect the shell. This allows the encryption engine to
  75.        turn once and supplies the virus in a form easily introduced into the
  76.        wild.
  77.  
  78.        Now for the interesting part: DIARRHEA is an appending virus
  79.        which displays a BIG ANSI every Friday. It goes
  80.        something like this: EAT MY DIARRHEA - GG Allin & The Texas
  81.        Nazis.  It's a real attention grabber and since DIARRHEA really
  82.        doesn't do anything but that, it's got an even chance of 
  83.        spreading rather nicely before someone gets surprised by
  84.        the ANSI. At which point they could go berserk. Hahaha.
  85.        [I know, I have a juvenile sense of humor.]
  86.  
  87.        DIARRHE6 is for those more impatient to see immediate results.
  88.        DIARRHE6 'drops' a TheDraw prepared .COMfile onto all .EXE 
  89.        files in the virus's path of infection.  This, in effect,
  90.        destroys the original program and replaces it with the
  91.        BIG ANSI which displays the hated EAT MY DIARRHEA message.
  92.        In truth, DIARRHE6 will be noticed fast since .EXE files
  93.        are eaten up by the ANSI substitute rather quickly. Don't
  94.        expect it to spread too far, although there is the chance that
  95.        an inexperienced user will be drawn into thinking that the
  96.        destroyed .EXE's are actually infected with a 
  97.        over-writing virus.
  98.  
  99.        To make this potential a little more polished, I've included
  100.        an optional modification for DIARRHE6.  I've prepared a
  101.        fragment of the WHALE virus in 'define byte' form
  102.        in the included file, VIRUS1.DAT.  Use your favorite
  103.        text editor to replace the ANSI data table at offset
  104.        DATA01 in DIARRHE6.ASM with VIRUS1.DAT JUST AS THE FILE IS WRITTEN.
  105.  
  106.        Then assemble.
  107.  
  108.        This will produce a virus which drops a WHALE string
  109.        onto .EXE's in its path, instead of the motorized ANSI.
  110.        When the victim goes to use a scanner on his damaged files,
  111.        he'll find the WHALE or, possibly, a DIR string. Scarey!!! 
  112.        While he's offhunting for this new strain of WHALE, your modified
  113.        version of DIARRHE6 could still be going strong.
  114.                                                   
  115.        [Actually, I'm sure you see the potential here. You could 
  116.        actually drop an entirely different virus onto the file,
  117.        causing a more serious secondary infection.]
  118.  
  119.        Remember that you'll want to let the modified DIARRHE6 infect
  120.        SHELLT.COM before you release it so that it encrypts itself and
  121.        the embedded WHALE string. This way, it won't scan for
  122.        WHALE until the string is 'dropped.' When you assemble this
  123.        you will notice the text "Eddie lives . . . somewhere in time!
  124.        Written in the city of Sofia, Bulgaria." in the un-encrypted
  125.        virus. Yup, it's loosely cribbed from DARK AVENGER even though
  126.        the 'dropped' table scans predominantly as WHALE. I put it
  127.        there to confuse things even more. When the victim executes
  128.        the .EXE this file has been dropped on, the phrase from
  129.        the DARK AVENGER (or CRAZY EDDIE) will display. Hahahah!
  130.        More confusion! (You can rip it out if you don't like it;
  131.        be my guest.) Other scanners may identify the dropped string
  132.        as DIR (THUNDERBYTE does) or SPARSE, which is fine. You see, I had 
  133.        so much fun with the idea I couldn't resist stuffing all 
  134.        kinds of psychologically troubling nonsense into VIRUS1.DAT.
  135.  
  136.        And, you will need TASM or MASM to fully utilize these listings.
  137.  
  138.        IN CONCLUSION:
  139.  
  140.        Do yourself a big favor and find the VCL. Nowhere Man's creation
  141.        is quite a pleasure to use, allowing your wildest creative
  142.        juices to flow.
  143.  
  144.        CONFUSION TO YOUR ENEMIES!
  145.  
  146.        -URNST KOUCH
  147.        DARK COFFIN BBS 215-966-3576
  148.        VIRUS_MAN BBS   215-PRI-VATE
  149.  
  150.        This issue of the CryPt newsletter should contain:
  151.        DIARRHE4.ASM - the source listing to DIARRHEA virus
  152.        DIARRHE6.ASM - the source listing to DIARRHE6 virus
  153.        SHELLT.COM - a helpful shell for initial infection trapping
  154.        VIRUS1.DAT - a 'define byte' table for a dummy COMfile
  155.        which contains WHALE & DIR virus signature strings as well
  156.        as text from CRAZY EDDIE virus.
  157.        CRPT.LTR - this newsletter
  158.        If it doesn't, DEMAND UPGRADE!!! heh-heh, a little joke.
  159.  
  160.