home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / CASIOCOL.ZIP / KRILE1.ZIP / KRILE.NFO < prev    next >
Encoding:
Text File  |  1997-11-20  |  5.4 KB  |  102 lines
  1. Virus Author: RAiD - [SLAM] Written on November 20, 1997
  2. Virus Name  : KRiLE v1.0
  3. Virus Target: .EXE and .COM *multi-os* (see below)
  4. Virus Size..: 4537 bytes exactly.
  5. Target OS...: KRiLE is a multi-OS virus. Meaning, any .EXE or .COM file
  6.               on Win3.x/MsDos/Win95/WinNT/Os2Warp are capable of not
  7.               only being infected, but still operating as if nothing had
  8.               happened.
  9. Virus Info..: KRiLE is an HLL virus, which makes use of some pure ASM
  10.               functions included for size and speed. Since KRiLE is an
  11.               HLL, it provides automatic shielding against hueristic
  12.               analysis, but does not in any way damage KRiLE's ability
  13.               to spread. KRiLE is system friendly in the sense it will
  14.               avoid the following files to prevent any possible system
  15.               lockups and/or program failures, which could lead to the
  16.               premature detection of this virus.
  17.               [command.com, start.exe, emm386.exe, mouse.com(exe),
  18.                mscdex.exe, setver.exe, dos4gw.exe, explorer.exe,
  19.                smartdrv.exe] KRiLE accesses files in a network or
  20.               multi-tasking friendly manner, so as not to cause failure
  21.               loading programs, which could tip the user to a possible
  22.               virus related problem.
  23.  
  24. Encryption..: KRiLE has a decryptor for various text and configuration
  25.               information (The decrypted data is NEVER written to disk!)
  26.               KRiLE maintaines compression via LZEXE and internal encryption
  27.               at all times. Using a search string for LZEXE files will cause
  28.               many false alarms. <G> KRiLE also contains an encryption/
  29.               decryption algorithm for the host data, although simple in
  30.               design, Those not familiar with asm or debugging exes will
  31.               have no luck disinfecting there files.
  32.  
  33. PayLoad.....: KRiLE has two payloads, one being a unique siren which can
  34.               go-off randomly, but will always go-off before control
  35.               is passed to the host, that is, if it does trigger. The other
  36.               payload is also random, which displays a short message:
  37.               "■KRiLE■ v1.0 It's time for revenge! coded by RAiD UsA [SLAM]97"
  38.               Each payload may go-off either before or after the original
  39.               program has executed. KRiLE has *no* destructive payloads of
  40.               any kind. I do not support intentional destruction, besides
  41.               formatting a hard-disk is not considered a new thing among
  42.               virus coders. Each payload has a 1:256 chance of going
  43.               off. This keeps the chance of virus discovery to a minimum
  44.               since either payload will rarely occur.
  45.  
  46. Stealth.....: Some stealth is performed to keep the executing file from
  47.               noticing any changes. As memory-image checking files are
  48.               rare, this method should be fine.
  49.  
  50. KRiLE infects its host via the following:
  51. 1. Search for files inside any directories found via the PATH variable.
  52. 2. Search for files in current directory
  53. 3. Pass control to host
  54. 4. Search current directory again - The infected host might have created
  55.    more .exe and/or .com files. pkunzip.exe is an example of a host
  56.    which might do this.
  57.  
  58. KRiLE also polls for checksum files created by Thunderbyte, CPAV, MSAV and
  59. VSAFE. If these files are found, they are quickly destroyed. VSAFE if loaded
  60. will be bypassed during the execution of KRiLE. The infected user will not
  61. be aware of any of this.
  62.  
  63. Although a win 3.x series (NE) file can be infected by KRiLE, it will no longer
  64. run properly unless it's run under Win95/NT. If you run an NE file on win3.x,
  65. KRiLE will still spread, but shortly after executing windows will say this
  66. file is not windows based. This problem does not occur on win95/nt or os/2
  67. based operating systems.
  68.  
  69. This virus is well armored against heuristic scanning and repair. Thunderbyte
  70. Anti-virus is tricked into corrupting an infected file if you attempt to
  71. use TBCLEAN. KRiLE has been tested against the following anti-virus
  72. programs: FPROT, AVP, FINDVIRU, MCAFEE, TBAV, NORTON, and Integrity Master.
  73.  
  74. Greetz:
  75.  
  76. [SLAM] - This one's for you! Enjoy it, and I'll be coding more of these
  77.          HLL viruses you have come to know me by. <G> Special thanks to
  78.          VDaemon, who told me not to give up my HLL viruses. <G>
  79. #Virus - ReAll! This is yet another HLL creation of mine, except it's
  80.          alot faster at what it does. Speed is an issue, and since KRiLE
  81.          is 4k, the faster it can infect the better, eh? :)
  82.  
  83. To all VX related:
  84. It's me again, and i've returned from my er, vacation from the scene
  85. with KRiLE. This will certainly annoy AV. :) and, this one is fast if I
  86. do say so myself. <G> Yea, i changed my name, Yet Again. RAiD sounds
  87. better. :)
  88.  
  89. To all AV related:
  90. I'm Back <EG> Miss me? <heh>
  91.  
  92. Anyone who wants to see how this virus works, heh, Debug it. KRiLE is
  93. hard-coded for it's size, so don't expect it to work if you reverse the
  94. exe compression. It'll *try* to replicate, but it won't make
  95. working-offspring. <Shrug>
  96.  
  97. Also, this is a 1st generation sample. It will self-corrupt once its
  98. executed, so be sure to set a bait file atleast as large as the virus to
  99. infect. Otherwise, you won't have a sample of the virus to play with.
  100.  
  101. "If ignorance is bliss, Why aren't you smiling?"
  102.