Youthanasia2:(YOUTH_2.005):10/06/1996 << Back To Youthanasia2


─┬────────────────────────────────────────────────────────────────────┬┐ └┼─[Tecnicas·para·disimular·la·accion·viral·]─[By Eucaris / NAPALM ]─┼─ | Archive-Date SO-FAR.... Original youth_01.005.. Language Span. | ╙--------------------------------------------------------------------╓ Tecnicas para Disimular la acción de los virus. ---------------------------------------------- Todos sabemos que lo fundamental en un virus es que pase desapercibido entonces aca voy a tratar las tecnicas basicas como para disimular la un accion de un virus en una PC. Los temas que voy a tratar son las siguientes: 1).- Modificacion de La Hora (Virus NOTSR y TSR) 2).- Modificacion de La Fecha (Virus NOTSR y TSR) 3).- Modificacion de Los Atributos (Virus NOTSR y TSR) 4).- Borrado de Checksums (Virus NOTSR y TSR) 6).- Detencion de la Ejecucion de Soft Anti-Virus.(Virus TSR) Los temas que quedan para más adelante son: 1).- Stealth de Memoria (Virus TSR) 2).- Stealth de Directorio (Virus TSR) 3).- Desinfeccion "On Fly" (Virus TSR) 4).- Infeccion "On Close" (Virus TSR) Ok. Empecemos!. Modificacion de La Fecha y Hora: ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Bueno, un virus al infectar un archivo (sino guarda la fecha del file) modifica la fecha poniendo la actual, ya que lo abre y escribe en el. Bueno ahora directamente lo voy a explicar en el codigo. ;esto seria lo basico para guardar fecha y hora y ;restablecerla. save_1 dw ? save_2 dw ? mov ax,5700h ;00 para obtener fecha 01 para setear. Int 21h ;Ejecutamos i21h y nos ;Devuelve en CX: Hora y en DX: Fecha mov offset save_1,CX ;Direccion para guardar la hora mov offset save_2,DX ;Direccion para guardar la Fecha. ;Ahora para setearla. mov ax,5701h ;Setear Fecha y Hora mov cx,offset save_1 ;Hora Salvada mov dx,offset save_2 ;Fecha Salvada int 21h ;Ejecutamos i21h, y nos recupera la Fecha y ;Hora Modificacion de los atributos del File: ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Es una de las funciones mas importantes ya que sin ella no se podrian infec- tar por ejemplo archivos con el atributo de Read Only y la limitacion de los virus seria muchisima,Entonces es que se setean los atributos a nada y luego se restablecen. el codigo: ;para obtener atributos del File mov ax,4300h ;Obtener mov dx,offset nombre ;nombre del File int 21h mov offset orig_att, cx ;Salvarlos ;para setearlos nuevamente mov ax,4301h ;Setear mov dx, offset nombre ;nombre del File mov cx,offset orig_att ;Atributos Originales int 21h ;Eso es todo. Borrado de Checksums: ^^^^^^^^^^^^^^^^^^^^ El borrado de checksum consiste en borrar o sobrescribir los archivos que tienen algunos antis para checkear integridad, como por ejemplo el ANTI-VIR.DAT del Thunderbyte, o el CHKLST.CPS del Msav, eso es sencillo no voy a dar el codigo por que tan solo llamando la la int 21h sub-funcion 41, para borrar y el nombre es suficiente.Esto quizas algunos ya lo conoscan otros no, pero es bueno implementarlo asi si la maquina de la victima tiene un control de integridad pasa mas desapercibido el virus. Detencion de la Ejecucion de Soft ANTI-Virus: ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Esto tambien es teorico ya que como muchos de ustedes sabran(los que hayan hecho virus residentes)el virus se cuelga de la sub-funcion de la int 21h ejecutar file entonces verifica es un EXE bueno ok, infectemos, pero resul ta que el user corre el anti, (si nuestro virus TSR infecta despues de co- rrer el file) detecta al virus en memoria o al escanear el muy puto salta y alerta al usuario, entonces a que apunto:, bueno si chequeamos el nombre del file antes de correrlo, por ejemplo: si se ingresa SCAN, mostrar un msg diciendo memoria insuficiente, o si se ejecuta TBMEM, resetear la maquina o colgarla, todo para que no salte ni informe de la accion del virus en la maquina. En sintesis esto no permitira que un user que no sepa demasiado se avive que tiene un virus en memoria. Conclusion: ^^^^^^^^^^ Estos son trucos para que nuestros virus pasen desapercibidos, muchos de ustedes diran - este pelotudo quiere ensenarnos a programar virus, ya que es basico lo que aqui explico pero, para algunos sera util, y quizas para otros que ni siquiera lo pensaron le sirve para mejorar sus virus. Ahora con respecto a los conceptos teoricos: Lo di asi por que considero que dar el co- digo no tiene sentido, ya que es algo muy usado, (o casi conocido por todos) entonces explanando el tema el usuario puede aplicarlo facilmente a sus virus. BUeno esto es todo por ahora, espero poder seguir escribiendo.Espero cri- ticas, ayudas y lo que quieran, para mejorar el nivel de los articulos. [] para cuelquier sugerencia, critica, duda, o lo que quieran me pueden en- contrar en los siguientes boards: Bleach tld 23-7 382-0691 Bs As Virus Exchange sabados 20-6 374-9145 Cybernetic World BBs Mier.Juev.Vier 20-23 750-3148 Malignity.[Napalm] PD:Lo que viene, Bueno si no hay ningun problema, voy a explicar algo de -- desinfeccion on fly, e infeccion on close, pero eso para mas ade- lante.