home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / CASIOCOL.ZIP / KRILE1C.ZIP / KRILE.NFO < prev    next >
Encoding:
Text File  |  1997-12-05  |  6.6 KB  |  131 lines
  1. Virus Author: RAiD - [SLAM] Written on December 4th, 1997
  2. Virus Name  : KRiLE v1.0c [Experimental A]
  3. Virus Target: .EXE and .COM *multi-os* (see below)
  4. Virus Size..: 5880 bytes.
  5. Target OS...: KRiLE is a multi-OS virus. Meaning, any .EXE or .COM file
  6.               on Win3.x/MsDos/Win95/WinNT/Os2Warp are capable of not
  7.               only being infected, but still operating as if nothing had
  8.               happened.
  9. Virus Info..: KRiLE is an HLL virus, which makes use of some pure ASM
  10.               functions included for size and speed. Since KRiLE is an
  11.               HLL, it provides automatic shielding against hueristic
  12.               analysis, but does not in any way damage KRiLE's ability
  13.               to spread. KRiLE is system friendly in the sense it will
  14.               avoid the following files to prevent any possible system
  15.               lockups and/or program failures, which could lead to the
  16.               premature detection of this virus.
  17.               [command.com, start.exe, emm386.exe, mouse.com(exe),
  18.                mscdex.exe, setver.exe, dos4gw.exe, explorer.exe,
  19.                smartdrv.exe] KRiLE accesses files in a network or
  20.               multi-tasking friendly manner, so as not to cause failure
  21.               loading programs, which could tip the user to a possible
  22.               virus related problem. (please see the section How KRiLE
  23.               infects below for more detailed information)
  24.  
  25. Encryption..: The entire KRiLE virus and files it infects are/will be stored
  26.               in an encrypted format.
  27. PayLoad.....: Good viruses usually contain some form of a payload. KRiLE is
  28.               no exception to this rule! KRiLE contains a siren effect
  29.               which it might trigger before control is passed back to the host
  30.               or it may decide not to trigger. KRiLE also contains a short
  31.               encrypted message to infected users, and AV. :)
  32.               
  33. Stealth.....: Some stealth is performed to keep the executing file from
  34.               noticing any changes. As memory-image checking files are
  35.               rare, this method should be fine. In fact, I have yet to
  36.               find one program which will detect it has been infected by
  37.               KRiLE. (I've infected all kinds of files for testing
  38.               purposes. I even infected f-prot v2.28. <g>)
  39.  
  40. How does KRiLE infect?
  41.  
  42. KRiLE is a direct action prepending virus. This said, it will randomly choose
  43. based on how many directories were found via PATH statement to scan for
  44. victoms. Once it chooses a directory, it will decide to infect between 1
  45. and 2 exe/com files inside that directory. This version of KRiLE attracts
  46. less to NAV and TBFILE if they happen to be resident, by renaming the file
  47. just before infection to some odd name (not exe/com), this way, resident
  48. scanners won't report modifications to Exe/Com files. We restore the filename
  49. right after :)
  50.  
  51. KRiLE contains minimal bait-file avoidance programming. Basically, the
  52. only exe/com files KRiLE will consider to be bait and not bother with
  53. are files which are not KRiLE's size or larger.
  54.  
  55. KRiLE also polls for checksum files created by Thunderbyte, CPAV, MSAV and
  56. VSAFE. If these files are found, they are quickly destroyed. VSAFE if loaded
  57. will be bypassed during the execution of KRiLE. The infected user will not
  58. be aware of any of this.
  59.  
  60. Although a win 3.x series (NE) file can be infected by KRiLE, it will no longer
  61. run properly unless it's run under Win95/NT. If you run an NE file on win3.x,
  62. KRiLE will still spread, but shortly after executing windows will say this
  63. file is not windows based. This problem does not occur on win95/nt or os/2
  64. based operating systems.
  65.  
  66. This virus is well armored against heuristic scanning and repair. Thunderbyte
  67. Anti-virus is tricked into corrupting an infected file if you attempt to
  68. use TBCLEAN. KRiLE has been tested against the following anti-virus
  69. programs: FPROT, AVP, FINDVIRU, MCAFEE, NORTON, and Integrity Master.
  70.  
  71. KRiLE has been tested against TBSCAN v8.03, The only flags triggered:
  72. cK. Hardly enough to warn or scare a user :)
  73.  
  74. Greetz:
  75.  
  76. [SLAM] - This makes 4! At the request of another coder, I have started
  77.          a revisions section in these nfos. It lists the major differences
  78.          between the different versions of KRiLE.
  79.  
  80. #Virus - Here's another HLL for you to study guys :) This one spreads over
  81.          longer periods of time, But it *should* be less-noticable
  82.  
  83. Microsoft - If it weren't for your kind Win95 methods of controlling my
  84.             spawning, KRiLE wouldn't be near as infectious. As much as i
  85.             despise you Bill, Your shitty OS is making me one happy VXer!
  86.  
  87. To all VX related:
  88. Revision history has been added to this nfo. Be sure to read it. :)
  89.  
  90.  
  91. To all AV related:
  92. Spreading the other varients was fun, Lets see how far this one gets hehe
  93.  
  94. Want KRiLE source? heh, debug it :)
  95.  
  96. Also, this is a 1st generation sample. It will self-corrupt once its
  97. executed, so be sure to set a bait file atleast as large as the virus to
  98. infect. Otherwise, you won't have a sample of the virus to play with.
  99.  
  100. This probably goes without saying, but, Be damn careful with this thing.
  101. During coding and (shudder) testing (eeek!) the virus did manage to get
  102. loose. Fortunatly, there were no encryption errors of my infected files,
  103. so I was able to restore them shortly there after. Do not let this happen
  104. to you. You don't have the benefit of the source code to look at.  :)
  105.  
  106. And, if you think a virus *never* infects it's author, Your ahem, How shall
  107. I put this... Wrong! :) Coding these is fun, testing is not so fun. :)
  108.  
  109. VX Ezines are welcome to publish the exe and/or this nfo file if they want.
  110.  
  111. I consider this varient of KRiLE an experimental one, So get in touch with
  112. me should you discover bugs with it.
  113.  
  114. Revision History:
  115. KRiLE v1.0  - First KRiLE on the scene, Used old internal decryptor and
  116.               LZEXE to maintain compression. Was easily caught and payloads
  117.               went off often.
  118. KRiLE v1.0a - Second release, Minor bug fixes, experimental crypto engine.
  119. KRiLE v1.0b - Added randomness for dirs and files, trying to speed it up
  120.               changed compressor again.
  121. KRiLE v1.0c - More randomness, added code to try and avoid tbfile/nav, also
  122.               changed compressor/encryptor and various encryption sequences
  123.               withen KRiLE. KRiLE uses about 30k less then all previous
  124.               varients, due to more efficient coding and change of
  125.               compression. Occasionally, Previous varients would infect
  126.               files that they shouldn't have. This has been corrected.
  127.  
  128.  
  129.  
  130. "If ignorance is bliss, Why aren't you smiling?"
  131.