home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / 40HEX-01.ZIP / 40HEX-1.002 < prev    next >
Encoding:
Text File  |  1991-06-26  |  5.0 KB  |  171 lines
  1. 40H Vmag Issue 1 Volume 1                                               00002
  2.  
  3.              -  HOW TO MODIFY A VIRUS SO SCAN WON'T CATCH IT -
  4.                                    OR
  5.                      HOW TO CREATE NEW VIRUS STRAINS
  6.  
  7.  
  8. The problem with most viruses is that this dickhead who lives in California
  9. named John Mcafee gets his greedy hands on them and turns them into big
  10. bucks -- for him.   John boy is the reason there are over 500 viruses out
  11. there, and I wouldn't doubt if he weren't resposible for  writing at least
  12. ten of them.
  13.  
  14. So the best thing to do to some Mcafee dependant sucker, or lame board is
  15. this.
  16.  
  17. Say you have a copy of a played out virus, lets say an older one like
  18. Armstand or Jerusalem.  Almost every virus scanner can detect these
  19. viruses cause they been around so long.  Now heres a quick way to modify
  20. viruses so the scanners wont catch them, in turn making them new strains.
  21.  
  22. The tools you need are --
  23.  
  24.                           Norton Utilites
  25.                           Debug          and/or
  26.                           Turbo Debugger by Borland
  27.  
  28. Now heres what you do.
  29.  
  30. Step A
  31. ------
  32.  
  33. Make a target file like this with Debug
  34.  
  35. Copy the below file with your editor to a file called SAMPLE.USR
  36.  
  37. -------------------------------------------------------------------------------
  38. n sample.com
  39. a
  40. int 20
  41.  
  42. rcx
  43. 2
  44. w
  45. q
  46. ------------------------------------------------------------------------------
  47. Then uses Debug to make the file SAMPLE.COM executing this command --
  48.  
  49. DEBUG < SAMPLE.USR
  50.  
  51. This will make a two byte called SAMPLE.COM
  52.  
  53.  
  54. STEP B
  55. ------
  56.  
  57. Infect the file with the virus.  If this is a boot sector virus your on
  58. your own.  Do whatever you have to to infect the two byte file.
  59.  
  60.  
  61. Make a copy of the file and keep it for safe keeping.
  62.  
  63. STEP C
  64. ------
  65.  
  66. Load up DISKEDIT, which comes with Norton 6.0 (I'm not sure if its in the
  67. lower versions) PCTOOLS Hex Editor will work too but it takes more work.
  68.  
  69. Now have DISKEDIT Hex-edit the infected file.
  70.  
  71. Now figure out where the middle of the file is.  Next put block on and
  72. go to the end of the file.  At the end of the file go to the edit screen and
  73. select fill.  Fill the lower half of the file will nonsense characters, its
  74. good to select 255d (FFh) the blank character.
  75.  
  76. Now save your changes and go to DOS
  77.  
  78. Now use SCAN to scan the file for viruses.  If it detects the virus you
  79. didnt delete the search string that SCAN is searching for.  Get it???
  80.  
  81. You see all SCAN does is search files for strings that are related to viruses.
  82. For example if SCAN was looking for CASCADE it look for something like this-
  83.  
  84.                         EB1DAD1273D1FF121F
  85.  
  86.  
  87. In every file you specify.  So what we are doing is narrowing down where that
  88. string is in the virus that SCAN keeps finding.
  89.  
  90. So what you have to do is keep deleting parts of the virus with DISKEDIT
  91. untill you finally narrow down the string.
  92.  
  93. Keep this in mind, search strings are in the first 150 bytes of the file
  94. about 75% of the time.
  95.  
  96. Ok lets say you narrowed down the search string and lets say it's -
  97.  
  98.                       B8 92 19 B7 21 CD
  99.  
  100. It will most likly be longer but this an example.
  101.  
  102. Now back to DEBUG - Do the following--
  103.  
  104. DEBUG
  105.  
  106. E 0100 b8 92 19 b7 21 cd    -- this is the string you found
  107.  
  108. Then type --
  109.  
  110. U
  111.  
  112. This will give you a unassembled look at what the id-string is.  In this
  113. example it was
  114.  
  115.  
  116.                        mov  ax,1992h
  117.                        mov  bx,21h
  118.                        int  21h
  119.  
  120.  
  121. Now this is what you have to do, and keep in mind the following ---
  122.  
  123. THE FOLLOWING TAKES A SOMEWHAT KNOWING OF ASSEMBLER AND HOW IT WORKS!!!!!!
  124.  
  125. Uses Turbo Debugger to find the string, you can use DEBUG but I don't know
  126. how to do this from debug.
  127.  
  128. Ok say you got the string on the screen --
  129.  
  130.                        mov  ax,1992h
  131.                        mov  bh,21h
  132.                        int  21h
  133.  
  134. Write down the locations in the file where these strings are.  Ex 0100h etc..
  135.  
  136. Now rearrange the AX mov with the BX mov like this ---
  137.  
  138.                         mov bh,21h
  139.                         mov ax,1992h
  140.                         int 21h
  141.  
  142. You see?  You didn't change the way the code functions (THATS IF YOU KNOW
  143. WHAT YOUR DOING!) but you changed the codes id-string for SCAN.
  144.  
  145. Now since Turbo Debugger dosent let you save the changes you must do it
  146. via - Debug.
  147.  
  148. DEBUG virus.com
  149.  
  150. a 0122  - This is the address of the string
  151.  
  152. Now enter the assembler instructions --
  153.  
  154.                          mov bh,21
  155.                          mov ax,1992h
  156.                          int 21h
  157.  
  158. w
  159.  
  160. q
  161.  
  162. Save it and SCAN it, if SCAN doesn't catch it Congrats.  If it does ---
  163. back to the lab.  Oh well you get the point.
  164.  
  165. One warning, this only works with un-encrypting viruses, or on the
  166. encryption mechanism of encrypting files (which will most likely be Scanned).
  167.  
  168. With that in mind, have fun.
  169.  
  170.                                                                            HR
  171.