home *** CD-ROM | disk | FTP | other *** search
/ Hacker's Arsenal - The Cutting Edge of Hacking / Hacker's Arsenal - The Cutting Edge of Hacking.iso / texts / virus / The 911 Virus.txt < prev    next >
Text File  |  2001-07-11  |  3KB  |  43 lines
  1. ***************************************************************************
  2. *                              The 911 Virus                              *
  3. *                   (An "Armagedon the Greek" Variant)                    *
  4. ***************************************************************************
  5. *               Commentary and disassembly by Black Wolf                  *
  6. ***************************************************************************
  7.         
  8.         The 911 virus is a direct variant of the "Armagedon the GREEK"
  9. virus, derived merely by changing the text within and the dialing string.
  10. The virus' size is 1079 bytes, making the smallest carrier 1081 bytes.  The
  11. main effect of the virus is to dial "911" every once in a while if a modem
  12. is present on com ports 1-4 (the original virus dialed the speaking clock
  13. in Greece).  It is a memory resident .COM infector.
  14.  
  15.         When executed, the 911 virus checks for residency.  If it is already
  16. installed, it simply passes control to the host file, otherwise, it goes
  17. memory resident, hooking Int 08h and Int 21h.  When 911 goes resident, it
  18. uses a rather strange way of doing it.  It re-executes the program and uses
  19. an Int 27 to go memory resident, but because of the second execution it does
  20. not truly terminate and is still able to return control to the host.
  21.  
  22.         Once memory resident, the 911 virus infect .COM files on execution
  23. (whenever an Int 21, function 4bh is called) after checking if the file has
  24. already been infected.  The identification string the virus uses to check for
  25. infection is the string "Support Your Police" located near the end of the
  26. virus (the original was "Armagedon the GREEK").
  27.  
  28.         The infection process is also somewhat strange, as the virus
  29. allocates all unused memory for itself, the loads the entire victim file into
  30. memory in one call.  It then "infects" it in memory, and writes it back to 
  31. the disk.  Afterwards, it releases the memory.
  32.  
  33.         All of the dialing and timing is handled from the Int 08 (Timer 
  34. Click) handler.  When activated, it will dial 911 (police/fire/emergency)
  35. and wait for several seconds.  It sends the commands to all ports 1-4, so
  36. the results of hardware other than modems connected to these ports may be
  37. unpredictable.
  38.  
  39.         The storage bytes are found at the very end of the file, with the 
  40. first byte encrypted by adding 0bh to its value.  Infected files may be 
  41. repaired by restoring these bytes to the beginning, unencrypting the first
  42. one, and cutting the virus off the end of the host program.
  43.