home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / 329.CRPT.LTR < prev    next >
Text File  |  1992-08-10  |  8KB  |  158 lines

  1.                 **********************************************
  2.                 The CryPt Newsletter: another in an occasional
  3.                                    series!
  4.                 **********************************************
  5.  
  6.  
  7.       NEWS! NEWS! NEWS!
  8.  
  9.       It's been an exciting summer at the Crypt!  With the procure-
  10.       ment of Nowhere Man's Virus Creation Laboratory, virus researchers
  11.       have much to do.
  12.  
  13.       The VCL is a revolutionary tool: an automated interface which
  14.       puts a comprehensive viral assembly library into the hands of
  15.       those who can benefit by it most.  Unlike the Mutation Engine
  16.       which has proven itself a thorny, un-user friendly development
  17.       with small utility (within two weeks of its widespread release,
  18.       most anti-virus scanners had been adjusted to catch it), the
  19.       VCL allows the determined virus programmer to create an almost
  20.       infinite variety of novel and troublesome programs, limited only
  21.       by his patience, dedication and imagination. Fuckin'-A! The
  22.       VCL is fun!
  23.  
  24.       Preliminary study of the VCL by anti-virus researchers have 
  25.       prompted some to declare on the FidoNet virus echo that VCL
  26.       code will be easily countered.
  27.  
  28.       This is premature and easily defied.  F-PROT, one of the most efficient
  29.       of the current crop of scanners CAN detect some VCL variants
  30.       in "Secure Scan" and "Heuristic" mode.  However, "Secure Scan"
  31.       findings are easily patched by incorporation of encryption
  32.       routines in the raw code and "trapping" of the nascent virus
  33.       body in a small custom-made .COM 'host' shell.*  In "heuristic"
  34.       mode, F-PROT is dangerous - BUT only when the user 'knows' what
  35.       he is looking for!  In my experience, few users will even attempt
  36.       to use a "heuristic" mode on a regular basis. The reasons are
  37.       these: 1) 'Heuristic"+ is a big word and, so, it must be hard to
  38.       use (stupid, I know, but true!); and 2) The false positive rate
  39.       requires some interpretation (Lazy fucks deserve to be parasitized
  40.       by viruses - .Ed). 
  41.       
  42.       The same can be said for THUNDERBYTE's TBSCAN
  43.       which implements an even more aggressive form of heuristic
  44.       scanning.  Interpretation of shakey files is easy "when" 
  45.       the user knows what he is looking for, 
  46.       more problemmatical when flying blind.  In addition,
  47.       TBSCAN isn't particularly user-friendly which means most potential
  48.       targets of viral attack won't have it in their arsenal. (Thank the
  49.       general level of incompetence in American society for this. Virology
  50.       is as much sociology as assembly, I say.)
  51.       
  52.       *[This is a simple stunt which suggested itself after reading
  53.        Mark Ludwig's "The Little Black Book of Computer Viruses"
  54.        (American Eagle Publishing, Tucson, AZ)]
  55.  
  56.       +['Heuristic' - all you have to know is that 'heuristic' means
  57.        F-PROT scans for certain 'patterns' of machine instruction:
  58.        resident services, self-modification, weird jump intructions,
  59.        discontinuous code sequences, garbage instructions, strange
  60.        memory entrance, illegal writes or formats to the
  61.        disk, etc.]
  62.  
  63.        IN THE MEAT OF THIS ISSUE:
  64.  
  65.        Two VCL-produced virus source-codes: DIARRHEA and DIARRHE6, which
  66.        demonstrate one of the nicer features of the VCL, ANSI screen
  67.        development and "dropper" routines.
  68.  
  69.        DIARRHEA can be assembled with TASM and linked in the standard
  70.        manner. Place the assembled file on a floppy with SHELLT.COM 
  71.        [Included in this newsletter]. Ensure that SHELLT is in a different
  72.        directory for quickest results. Call the virus and it will 
  73.        promptly infect the shell. This allows the encryption engine to
  74.        turn once and supplies the virus in a form easily introduced into the
  75.        wild.
  76.  
  77.        Now for the interesting part: DIARRHEA is an appending virus
  78.        which displays a BIG ANSI every Friday. It goes
  79.        something like this: EAT MY DIARRHEA - GG Allin & The Texas
  80.        Nazis.  It's a real attention grabber and since DIARRHEA really
  81.        doesn't do anything but that, it's got an even chance of 
  82.        spreading rather nicely before someone gets surprised by
  83.        the ANSI. At which point they could go berserk. Hahaha.
  84.        [I know, I have a juvenile sense of humor.]
  85.  
  86.        DIARRHE6 is for those more impatient to see immediate results.
  87.        DIARRHE6 'drops' a TheDraw prepared .COMfile onto all .EXE 
  88.        files in the virus's path of infection.  This, in effect,
  89.        destroys the original program and replaces it with the
  90.        BIG ANSI which displays the hated EAT MY DIARRHEA message.
  91.        In truth, DIARRHE6 will be noticed fast since .EXE files
  92.        are eaten up by the ANSI substitute rather quickly. Don't
  93.        expect it to spread too far, although there is the chance that
  94.        an inexperienced user will be drawn into thinking that the
  95.        destroyed .EXE's are actually infected with a 
  96.        over-writing virus.
  97.  
  98.        To make this potential a little more polished, I've included
  99.        an optional modification for DIARRHE6.  I've prepared a
  100.        fragment of the WHALE virus in 'define byte' form
  101.        in the included file, VIRUS1.DAT.  Use your favorite
  102.        text editor to replace the ANSI data table at offset
  103.        DATA01 in DIARRHE6.ASM with VIRUS1.DAT JUST AS THE FILE IS WRITTEN.
  104.  
  105.        Then assemble.
  106.  
  107.        This will produce a virus which drops a WHALE string
  108.        onto .EXE's in its path, instead of the motorized ANSI.
  109.        When the victim goes to use a scanner on his damaged files,
  110.        he'll find the WHALE or, possibly, a DIR string. Scarey!!! 
  111.        While he's offhunting for this new strain of WHALE, your modified
  112.        version of DIARRHE6 could still be going strong.
  113.  
  114.        [Actually, I'm sure you see the potential here. You could 
  115.        actually drop an entirely different virus onto the file,
  116.        causing a more serious secondary infection.]
  117.  
  118.        Remember that you'll want to let the modified DIARRHE6 infect
  119.        SHELLT.COM before you release it so that it encrypts itself and
  120.        the embedded WHALE string. This way, it won't scan for
  121.        WHALE until the string is 'dropped.' When you assemble this
  122.        you will notice the text "Eddie lives . . . somewhere in time!
  123.        Written in the city of Sofia, Bulgaria." in the un-encrypted
  124.        virus. Yup, it's loosely cribbed from DARK AVENGER even though
  125.        the 'dropped' table scans predominantly as WHALE. I put it
  126.        there to confuse things even more. When the victim executes
  127.        the .EXE this file has been dropped on, the phrase from
  128.        the DARK AVENGER (or CRAZY EDDIE) will display. Hahahah!
  129.        More confusion! (You can rip it out if you don't like it;
  130.        be my guest.) Other scanners may identify the dropped string
  131.        as DIR (THUNDERBYTE does) or SPARSE, which is fine. You see, I had 
  132.        so much fun with the idea I couldn't resist stuffing all 
  133.        kinds of psychologically troubling nonsense into VIRUS1.DAT.
  134.  
  135.        And, you will need TASM or MASM to fully utilize these listings.
  136.  
  137.        IN CONCLUSION:
  138.  
  139.        Do yourself a big favor and find the VCL. Nowhere Man's creation
  140.        is quite a pleasure to use, allowing your wildest creative
  141.        juices to flow.
  142.  
  143.        CONFUSION TO YOUR ENEMIES!
  144.  
  145.        -URNST KOUCH
  146.        DARK COFFIN BBS 215-966-3576
  147.        VIRUS_MAN BBS   215-PRI-VATE
  148.  
  149.        This issue of the CryPt newsletter should contain:
  150.        DIARRHE4.ASM - the source listing to DIARRHEA virus
  151.        DIARRHE6.ASM - the source listing to DIARRHE6 virus
  152.        SHELLT.COM - a helpful shell for initial infection trapping
  153.        VIRUS1.DAT - a 'define byte' table for a dummy COMfile
  154.        which contains WHALE & DIR virus signature strings as well
  155.        as text from CRAZY EDDIE virus.
  156.        CRPT.LTR - this newsletter
  157.        If it doesn't, DEMAND UPGRADE!!! heh-heh, a little joke.
  158.