home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker's Arsenal - The Cutting Edge of Hacking / Hacker's Arsenal - The Cutting Edge of Hacking.iso / texts / virus / Computer Viruses - A Protagonist's Point of View.txt

< prev

next >

Wrap

Text File  |  2001-07-11  |  24KB  |  474 lines

---

1.                Computer Viruses - A Protagonist's Point Of View
2.            -----===] CORRUPTED PROGRAMMING INTERNATIONAL [===-----
3.  
4.                             == CPI Newsletter #1 ==
5.                     [ Article Written By Doctor Dissector ]
6.                            Released : June 27, 1989
7.  
8.                            Call The CPI Headquarters
9.                                  619-566-7093
10.                         1200/2400 Baud :: Open 24 Hours
11.  
12.  
13.  
14.                               [1.1] Introduction:
15.                               -------------------
16.  
17.       Welcome  to  "Computer  Viruses  - A Protagonist's Point Of View." This 
18.  letter,  perhaps  the  beginning of a small newsletter. Well, this "letter," 
19.  is  written  by  one person right now, maybe I'll get some people to send in 
20.  more  info,  ideas,  and  examples  to CPI. If you would like to contribute, 
21.  please  upload  text  files to CPI Headquarters (see heading for number) and 
22.  leave a note to me telling me you are contributing to our magazine.
23.  
24.       Well,  as  an  overview,  this  article will cover a few topics dealing 
25.  with  viruses; however, there will be no examples covered as we are short of 
26.  programmers  at  the  moment. That reminds me, if you would like to become a 
27.  member  of  CPI, fill out the accompanying text file and upload it to CPI HQ 
28.  as  an upload to the Sysop, then leave me and the Sysop some mail to tell us 
29.  you  registered  to  become  a  member.  We  will get back to you as soon as 
30.  possible.
31.  
32.       The  purpose  of  this  magazine  is  to expand and broaden the general 
33.  computer  user's  view and knowledge of the dreadful computer Virus, as well 
34.  as  a  bit  on  Trojans  (not  the hardware, the SOFTWARE!). Then, after the 
35.  knowledge  of  these  computer  crackers  is  better  understood, the second 
36.  purpose  of  this  newsletter  is  to  teach  both methods of developing and 
37.  executing  a  better  virus/trojan.  We, VRI, feel viruses and trojans are a 
38.  vital  part  of  the  computer  world,  and should stand along the trades of 
39.  hacking,  phreaking, cracking, pirating, and pyro as an equal, not something 
40.  to be looked down upon (unless you are hit by one...).
41.  
42.       In  the  future,  we  hope CPI will grow and spread, just like a virus, 
43.  and  encompass  a large domain of the crackers, hackers, and other elite out 
44.  there  so  that  the  life  of  this group will be maintained, and that this 
45.  newsletter,  hopefully,  won't  be  the only issue to be released during the 
46.  group's existence.
47.  
48.                                              Doctor Dissector
49.                                              CPICV Editor/ANE Author
50.  
51.  
52.       Table Of Contents-
53.  
54.      Phile    Subject                                  Author
55.      -----    ---------------------------------------------------------
56.       1.1     Introduction & Table Of Contents.........Doctor Dissector
57.       1.2     Viruses- What, Where, Why, How...........Doctor Dissector
58.       1.3     Aspects Of Some Known Viruses............Doctor Dissector
59.       1.4     Ideas For Future Viruses.................Doctor Dissector
60.       1.5     Suggested Reading........................Doctor Dissector
61.       1.6     Conclusion...............................Doctor Dissector
62.       1.7     CPI Application..........................Doctor Dissector
63. 
64. Downloaded From P-80 International Information Systems 304-744-2253
65.      ----------------------------------------------------------------------
66.      
67.                       [1.2] Viruses- What, Where, Why, How
68.      
69.      
70.           If  you  are a beginner in this field, you may be curious to what 
71.      a  virus/trojan  is.  Perhaps  you heard about it through some BBS, or 
72.      known  someone  who had their system crashed by one. Well, this is for 
73.      you.
74.      
75.           In  the  Trojan  War,  way  back  when,  there existed the Trojan 
76.      Horse,  right? Well, nowadays, there is a modern version of the Trojan 
77.      Horse  existing  is  software.  The  modern, computer, Trojan horse is 
78.      really  simple,  a psychedelic hacker implants destructive code into a 
79.      normal  (or  fake)  file.  This modified/fake file, when executed will 
80.      destroy  or  remove  something  from the host computer, usually format 
81.      the  hard  drive,  delete all files, or something similar. In order to 
82.      distribute  the corrupt phile, the hacker goes and does one or more of 
83.      various  things;  depending on how deranged this individual is (hehe). 
84.      These things are covered in the following section.
85.      
86.           A  virus,  in  normal  terms  is an organism which spreads malign 
87.      from  one  host  to  another,  transmitting  itself through biological 
88.      lines  so  that  both  the  previous  host  and the future host become 
89.      infected  with  the virus. Today, there are computer viruses, and just 
90.      like  biological viruses, they spread from file to file, host to host, 
91.      infecting  everything  it  "sees."  These  computer viruses can either 
92.      destroy  the  code  it  infects immediately, or over a period of time, 
93.      corrupt  or  damage  the  host  system it thrives upon. For example, a 
94.      virus  hidden in a file on a BBS could be downloaded to a host system. 
95.      Then,  the  user  who  downloaded it executes the file, which executes 
96.      normally  (as  seen  by the operator), but at the same time, the virus 
97.      attacks  other files, and infects them, so that each file owned by the 
98.      user  becomes  infected  with the virus. Then, at a given time or when 
99.      something  is fulfilled by the host system, the virus becomes a trojan 
100.      and  destroys,  encrypts, or damages everything available, infected or 
101.      un-infected.  In  general,  a  virus is a timed trojan that duplicates 
102.      itself  to  other  files,  which, in effect sustains the virus's life-
103.      span  in  the  computer world, as more host systems are infiltrated by 
104.      the disease.
105.      
106.           Now  that  I've given you a description of the computer virus and 
107.      trojan, we can go onto more complex things... well, not really...
108.      
109.           Ok,  now, let's trace the life of a virus. A virus/trojan is born 
110.      in  the  mind  of  some  hacker/programmer  that  decides  to  develop 
111.      something   out   of   the   ordinary,  not  all  viruses/trojans  are 
112.      destructive,  often, some are amusing! Anyway, the hacker programs the 
113.      code  in  his/her  favorite  language;  viruses  can be developed with 
114.      virtually  any  language,  BASIC,  Pascal,  C, Assembly, Machine Code, 
115.      Batch  files,  and  many  more. Then, when the disease is complete and 
116.      tested,  the  hacker intentionally infects or implants the code into a 
117.      host  file,  a  file  that  would be executed by another un-suspecting 
118.      user,  somewhere  out there. Then, the hacker does one or more of many 
119.      things  to  distribute  his  baby.  The hacker can upload the infected 
120.      file  to  a local BBS (or many local/LD BBS's), give the infected file 
121.      to  a  computer  enemy,  upload the infected file to his/her workplace 
122.      (if  desired...hehe),  or  execute  the  phile  on  spot,  on the host 
123.      system.  Then,  the virus, gets downloaded or executed, it infiltrates 
124.      the  host  system,  and  either  infects  other  files, or trashes the 
125.      system  instantly.  Eventually,  the infected system's user gets smart 
126.      and either trashes his system manually and starts fresh, or some mega-
127.      technical  user  attempts  to recover and remove the virus from all of 
128.      the  infected files (a horrendous job). Then, the virus dies, or other 
129.      host  systems that were previously infected continue, and accidentally 
130.      upload  or  hand out infected files, spreading the disease. Isn't that 
131.      neat?
132.      
133.           Now,  to  answer  your  questions;  I  already  explained  what a 
134.      virus/trojan  is  and  how they are developed/destroyed. Now, where do 
135.      these  suckers come from? Why, some hacker's computer room, of course! 
136.      All  viruses  and  trojans  begin at some computer where some maniacal 
137.      hacker  programs  the  code  and implants it somewhere. Then, you ask, 
138.      why  do they do this? Why hack? Why phreak? Why make stupid pyro piles 
139.      of  shit?  Think about it... This is an ART! Just like the rest. While 
140.      Hacking  delivers  theft  of  services,  Phreaking  delivers  theft of 
141.      services,  Cracking/Pirating  delivers theft of software and copyright 
142.      law  breaks,  Pyro  delivers  unlawful  arson/explosives,  Viruses and 
143.      Trojans  vandalize  (yes,  legally  it is vandalism and destruction of 
144.      property)  computer  systems  and  files. Also, these are great to get 
145.      back  at arch-computer enemies (for you computer nerds out there), and 
146.      just  wreak  havoc  among  your computer community. Yeah, PHUN at it's 
147.      best...
148.      
149.      ----------------------------------------------------------------------
150. 
151. Downloaded From P-80 International Information Systems 304-744-2253
152.      ----------------------------------------------------------------------
153.      
154.                        [1.3] Aspects Of Some Known Viruses
155.      
156.      
157.           Many  viruses  have  been  written  before and probably after you 
158.      read  this article. A few names include the Israeli, Lehigh, Pakistani 
159.      Brain,  Alameda,  dBase,  and  Screen.  Keep in mind that most viruses 
160.      ONLY  infect COM and EXE files, and use the Operating System to spread 
161.      their  disease.  Also,  many viruses execute their own code before the 
162.      host  file  begins  execution,  so  after  the virus completes passive 
163.      execution  (without  "going  off")  the  program will load and execute 
164.      normally. 
165.      
166.           Israeli  - This one is a TSR virus that, once executed, stayed in 
167.      memory  and  infected  both COM and EXE files, affecting both HARD and 
168.      FLOPPY  disks.  Once  executed, the virus finds a place to stay in the 
169.      system's  memory  and upon each execution of a COM or EXE file, copies 
170.      itself  onto the host phile. This one is very clever, before infecting 
171.      the  file,  it  preserves  the  attributes  and date/time stamp on the 
172.      file,  modifies  the  files attributes (removes READ only status so it 
173.      can  write  on it), and then restores all previous values to the file. 
174.      This  virus  takes very little space, and increases the host file size 
175.      by  approximately  1800  bytes.  The trigger of this virus is the date 
176.      Friday  the  13th.  This  trigger will cause the virus to either trash 
177.      the  disk/s  or delete the files as you execute them, depending on the 
178.      version. Whoever wrote this sure did a nice job....
179.      
180.           Lehigh  -  This one infects the COMMAND.COM file, which is always 
181.      run  before bootup, so the system is ready for attack at EVERY bootup. 
182.      It  hides  itself  via  TSR type and when any disk access is made, the 
183.      TSR  checks  the  COMMAND.COM  to  see  if  it is infected. Then if it 
184.      isn't,  it  infects  it,  and  adds  a  point to its counter. When the 
185.      counter  reaches  4,  the  virus  causes  the disk to crash. This one, 
186.      however,  can be stopped by making your COMMAND.COM Read-Only, and the 
187.      date/time  stamp  is  not  preserved,  so  if  the  date/time stamp is 
188.      recent,  one  could  be  infected  with  this  virus.  This  virus  is 
189.      transferred  via  infected  floppy disks as well as a clean disk in an 
190.      infected  system.  It can not infect other hosts via modem, unless the 
191.      COMMAND.COM is the file being transferred.
192.      
193.           Pakistani  Brain  -  This one infects the boot sector of a floppy 
194.      disk.  When  booting off of the disk, the virus becomes a TSR program, 
195.      and  then  marks  an  unused portion of the disk as "bad sectors." The 
196.      bad  sectors,  cannot be accessed by DOS. However, a disk directory of 
197.      an  infected  disk  will show the volume label to be @ BRAIN. A CHKDSK 
198.      will  find  a few bad sectors. When you do a directory of a clean disk 
199.      on  an  infected  system, the disk will become infected. The virus has 
200.      no  trigger  and  immediately  begins  to mark sectors bad even though 
201.      they  are  good. Eventually, you will have nothing left except a bunch 
202.      of  bad  sectors  and  no  disk  space. The virus itself has the ASCII 
203.      written  into  it with the words "Welcome the the Dungeon" as well the 
204.      names  of  the  supposed  authors of the virus, and address, telephone 
205.      number,  and  a  few  other  lame  messages.  To inoculate your system 
206.      against  this  virus,  just type 1234 at byte offset location 4 on the 
207.      boot track (floppy disks).
208.      
209.           Alameda  -  This  virus  also infects the boot sector of the host 
210.      system.  It  is  very  small  and  inhabits  ONE sector. This one only 
211.      damages  floppy  disks.  If  you  boot from a diseased disk, the virus 
212.      loads  itself  into  HIGH memory and during a warm boot, it remains in 
213.      memory  and  infects  any  other  clean disks being booted from on the 
214.      infected  system. It then replaces the boot track with the virus track 
215.      and  replaces  the  boot  track  on the last track of the disk, so any 
216.      data  located  on  the  last  track  is  corrupted.  All  floppy disks 
217.      inserted  during  reboot can catch this virus. This virus only infects 
218.      IBM PC's and XT's, however, it does not infect 286's or 386's. 
219.      
220.           dBase  -  This  one is a TSR virus that works in a manner similar 
221.      to  the  Israeli  virus. It looks for files with a DBF extension, then 
222.      it  replicates  itself in all DBF files, preserving file size, and all 
223.      attributes.  After  the  first  90  days, the virus destroys your file 
224.      allocation  table  and  corrupts all data in the DBF files. This virus 
225.      creates  a  hidden  file,  BUG.DAT that indicates the bytes transposed 
226.      (in  order to preserve file specifications). Run a CHKDSK to make sure 
227.      you  don't  have  any  extra  hidden  files or a BUG.DAT in your dBase 
228.      directory.  If  you  create a BUG.DAT file manually in your directory, 
229.      making it read-only, you will be safe from this virus.
230.      
231.           Screen  -  This  one  is  another TSR virus that comes on and off 
232.      periodically.  When  it is on, it examines the screen memory and looks 
233.      for  any  4  digits  starting at a random place on the screen. Then it 
234.      transposes  two  of  them,  this is not a good thing. It infects every 
235.      COM  file  in  your  directory, HARD and FLOPPY disks can be infected. 
236.      You  can  use  a  ASCII  searcher  to  check  if  you  are infected by 
237.      searching  for  "InFeCt"  in your COM files. If you have this written, 
238.      read  the  4  bytes immediately preceding it and overwrite the first 4 
239.      bytes  of  the program with their value. Then, truncate the program at 
240.      their  stored  address. You will rid yourself of this virus. Make sure 
241.      you use a clean copy of you editor for this.
242.      
243.           Other  viruses  include  MAC, AMIGA, and many other environments. 
244.      By  the way, other computer systems other than IBM/DOS may become part 
245.      of CPI if you qualify.
246.      
247.           Anyway,  these  are  a few viruses I have read on and thus passed 
248.      the  information  to  you, I hope you can learn from them and get some 
249.      ideas for some.
250. 
251. Downloaded From P-80 International Information Systems 304-744-2253
252.      ----------------------------------------------------------------------
253.      
254.                          [1.4] Ideas For Future Viruses
255.      
256.      
257.           Since  I  have  covered  viruses  already in existence, lets talk 
258.      about  viruses that can or may exist in the near future. These are not 
259.      even   close   to   half  the  ideas  possible  for  destruction  with 
260.      trojans/viruses  available,  but  will  pose as a challenge to you who 
261.      are short of ideas.
262.      
263.           CSR  Virus  - A CMOS Stay Resident VIRUS that will implant itself 
264.      in  the  CMOS  memory of the AT (286/386/486?) which will execute upon 
265.      every bootup. This one would be VERY nice.
266.      
267.           Failsafe  Virus  - Preserves ALL attributes, Preserves file size, 
268.      remains  TSR  but hidden to TSR location programs, Modifies attributes 
269.      to  get  around  Read-Only  files, Infects ALL files (Not only COM and 
270.      EXE),  encrypts  all  data  on  trigger  (irreversible)  but preserves 
271.      original file size/attributes.
272.      
273.           Format  Virus - A virus which is TSR and when a DOS format or any 
274.      other  FORMAT  type  of call is called, will FORMAT every other track, 
275.      but will not allow DOS to notice.
276.      
277.           Write  Virus  -  A  virus  that  intercepts  write to disk, which 
278.      deletes the disk write, and marks sector as bad at write point.
279.      
280.           ASCII  Virus  -  Virus that would scramble ASCII text in any file 
281.      at trigger.
282.      
283.           Low  Level  Format  Virus  -  Virus  that  low level formats (BAD 
284.      format)  HD  in background with data still intact. I have seen regular 
285.      background  LLF  programs,  and it keeps data in place, but it does it 
286.      correctly... hmmm...?
287.      
288.           Hide Virus - A Virus that hides files slowly.
289.      
290.           Crash  Virus - Virus that emulates typical system crashes/freezes 
291.      occasionally.  Causes  BIOS to freeze and write BIOS ERROR messages on 
292.      screen.
293.      
294.           Modem  Virus  -  One  that  remains  in  boot  sector and TSR and 
295.      monitors  data  from  serial  ports,  puts in "artificial" line-noise. 
296.      NICE!
297.      
298.           These  are  just  a  few  I  thought  up... these could be really 
299.      good... Think of some more and call CPI HQ TODAY!
300. 
301. Downloaded From P-80 International Information Systems 304-744-2253
302.      ----------------------------------------------------------------------
303.      
304.                              [1.5] Suggested Reading
305.      
306.      
307.           The  following list is a compiled listing of some material I have 
308.      read   as  well  as  other  sources  you  MIGHT  find  information  on 
309.      concerning viruses and trojan horses. Happy trashing....
310.      
311.      
312.           "Know Thy Viral Enemy" by Ross M. Greenberg
313.            BYTE Magazine
314.            June 1989, pg 275-280
315.      
316.           "Viruses: Assembly, Pascal, BASIC & Batch" by Tesla Coil ][
317.            Phreakers And Hackers Underground Network Newsletter (PHUN)
318.            Issue #3, Volume 2, Phile #2
319.      
320.           "Computer Viruses: A High Tech Disease" by Abacus
321.            2600 Magazine
322.            Volume 5, Number 2
323. 
324. Downloaded From P-80 International Information Systems 304-744-2253
325.      ----------------------------------------------------------------------
326.      
327.                                 [1.6] Conclusion
328.      
329.      
330.           Thus   ends  the  first  issue  of  CPI's  "Computer  Viruses:  A 
331.      Protagonist's  Point  Of  View." We hope you enjoyed it and we hope it 
332.      was informative and complete (at least about the specific issues).
333.      
334.           We,  VRI,  hope that you will share your information and comments 
335.      with  us  at  VRI  Headquarters,  as this newsletter will require both 
336.      information  and  an expansion of our current member base. If you feel 
337.      you  have  what  it takes to gather, read, or program for VRI, send us 
338.      an application today.
339.      
340.           Oh  yeah, if this happens to be the only issue of VRICV, oh well, 
341.      and  many thanx to those who read it at least once, and enjoyed it (or 
342.      laughed  at  it).  Until our (my?) next issue, have phun and don't get 
343.      toooo wild......
344.      
345.      
346.      
347.      
348.       =====[ CPI Headquarters * 619-566-7093 * 1200/2400bps * 24Hrs ]=====
349. 
350. Downloaded From P-80 International Information Systems 304-744-2253
351.     [1.7] CPI Application
352.      -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
353.  
354.                   >> CORRUPTED PROGRAMMING INTERNANATIONAL<<
355.                           >> MEMBERSHIP APPLICATION <<
356.  
357.      -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
358.  
359. NOTE: The following information is of a totally confidential nature. We must
360.       question you in depth  and thouroughly so that our  knowledge and idea
361.       of you will be quite complete.  Remember, it is the fate of our voting
362.       members who  will decide upon your  membership,  as the result of your
363.       response to this questionairre. Please answer the following completely
364.       and to the best of your ability.
365.  
366.  
367. PERSONAL INFORMATION:
368. -----------------------------------------------------------------------------
369.      Alias(es) You HAVE Used :
370.  Alias(es) You Currently Use :
371.          Your REAL FULL NAME :
372.      Your Voice Phone Number :(###)###-####
373.       Your Data Phone Number :(###)###-####
374.            Your City & State :
375.                     Your Age :
376.             Occupation/Grade :
377.          Place Of Employment :
378.            Work Phone Number :
379.   Your Interests And Hobbies :
380.  
381. Is Your Job IN ANY WAY Related To ANY Governmental/Law Enforcement Agency?
382. If So, In What Way? (Such as FBI, Sheriff, Police)
383. :
384. :
385.  
386.  
387. COMPUTER INFORMATION/EXPERIENCE
388. -----------------------------------------------------------------------------
389.   Computer Experience (time) :
390.   Modeming Experience (time) :
391.  BBS's You Frequent (Name/#) :
392.             Elite References :
393.      Computers You Have Used :
394.       Computer You Are Using :
395.          Computer You Prefer :
396.     Languages You Have Tried :
397.      Languages You Know Well :
398.           Your Best Language :
399.       Have You Ever Phreaked :
400.           Do You Phreak Alot :
401.         Have You Ever Hacked :
402.            Do You Hack Alot  :
403.        Have You Ever Cracked :
404.            Do You Crack Alot :
405.     Ever Made A Virus/Trojan :
406.        Major Accomplishments :
407.  
408.  
409. MISC INFORMATION
410. -----------------------------------------------------------------------------
411. Answer In 4 Lines Or Less:
412.  
413.  
414. What do you think Corrupted Programming International is?
415. :
416. :
417. :
418. :
419.  
420. When did you first hear about CPI?
421. :
422. :
423. :
424. :
425.  
426. Why do you want to be a member of CPI?
427. :
428. :
429. :
430. :
431.  
432. Do you know any of the members of CPI?  Can you name a few?
433. :
434. :
435. :
436. :
437.  
438. Have you considered the distribuition of viruses/trojans as a "crime"?  Why
439. or why not?  (Morally speaking?)
440. :
441. :
442. :
443. :
444.  
445. Have you written any text files?  (On any underground type of subject?)
446. :
447. :
448. :
449. :
450.  
451. Are you a member of any other group(s)?  Can you name them and their HQ BBS?
452. :
453. :
454. :
455. :
456.  
457. Can you contribute to CPI?  How?
458. :(Do you have access to info concerning virus/trojans)
459. :(Exceptional programmer?)
460. :(Got connections?)
461. :(Anything extraordinary?)
462.  
463.  
464. -----------------------------------------------------------------------------
465.        .Answer Each Question To The Best And Fullest Of Your Ability.
466. -----------------------------------------------------------------------------
467.  
468.             Upload ALL Applications To The CPI Headquarters BBS
469.                    *(619) 566-7093 * 1200/2400 * 24 Hrs*
470.  
471.  Future CPI Support BBS's Will Be Active - Applications May Be Turned In Then
472. 
473. Downloaded From P-80 International Information Systems 304-744-2253
474.