home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / 255.INSTALL.DOC < prev    next >
Text File  |  1992-09-26  |  3KB  |  49 lines
  1. This program, INSTALL.EXE is a trojan.  If you're reading this, you must not
  2. be one of those people who like to run things before reading the docs!  
  3. Give yourself a pat on the back!  
  4.  
  5. Install does the following when activated:
  6.   Overwrites itself and erases itself (regardless of drive, directory)
  7.   Disables the keyboard (by redirecting the vector, NOTHING works!)
  8.   Overwrites the partition table
  9.   Updates the boot sector (a two-byte change that has interesting effects!)
  10.   Overwrites the 1st 100 sectors of C:
  11.   Displays the file INSTALL.DAT
  12.   Overwrites and kills INSTALL.DAT
  13.  
  14. Notice that the keyboard isn't restored.  That leaves the user to power down!
  15. (And upon rebooting, the new boot sector takes effect).  The boot sector was
  16. altered to have CD 19 as the first two bytes instead of the jump normally 
  17. located here.  For those of you unfamiliar with opcodes, this is INT 19h.
  18. This causes the boot to be re-read, but then CD 19 is encountered again!  Yep,
  19. it reboots forever until a diskette is inserted.  (And then the HD is trashed
  20. anyway).
  21.  
  22. Two points:
  23.   1) INSTALL.DAT should be a text file.  If you put something like 'SCREW YOU,
  24.      LAMER!' in this file, the user may read it before running the program.
  25.      Since the PC will hang, try something like 'Send $10 to ...' - I don't
  26.      recommend using your own address.
  27.  
  28.   2) INSTALL.DOC (you create this too) should be created to give the user a 
  29.      sense of realism.  Try 'type INSTALL <d:\path>' or some similar install
  30.      message.  
  31.  
  32. Why this type of trojan?  I've seen many trojans designed for many things.
  33. However, you can use this sort of program with ANY legit program!  Simply add
  34. INSTALL.EXE, DOC, and DAT to the original ZIP.  You could even get fancy and
  35. imbed a ZIP of the original contents to make it look like INSTALL will handle
  36. the UNZIP for you (the DOC can say that PKUNZIP must be in the path).
  37.  
  38. In any case, I wrote this to test scanners for this type of problem.  F-PROT,
  39. in my opinion the best, does not detect this program, even in heuristics mode.
  40. It probably wasn't designed to, but I ask, what program should contain direct
  41. writes to the partition and boot areas?  This program exploits a problem with
  42. most scanners.  THIS PROGRAM WILL CAUSE DAMAGE TO YOUR DATA IF EXECUTED.  THE
  43. AUTHOR DOES NOT RECOMMEND YOU EXECUTE THIS PROGRAM AND REQUIRES YOU TO USE IT
  44. ONLY FOR SIMILAR TESTING/RESEARCH PURPOSES.  INCLUDING THIS PROGRAM IN A ZIP
  45. AS OFFERED ABOVE IS NOT RECOMMENDED AS IT MIGHT VIOLATE THE COPYRIGHT OF THE
  46. AUTHOR AND MAY BE CRIMINAL.  THIS PROGRAM IS PROVIDED AS IS, WITHOUT WARRANTY
  47. EXPRESS OR IMPLIED.
  48.  
  49.