Naziv: Mutiranje virusa
Autor: BaCkSpAcE
       BitByterz Labs 2002


SADRZAJ:
=-=-=-=-=

\x00	Uvod
\x01	Kako poceti?
\x02	Sta dalje?
\x03	Kraj

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=


\x00  Uvod
=-=-=-=-=-=

    Recimo da imate kopiju od nekog virusa koji je veoma dobar i koji je prosao 
svet... ali imate problem... taj virus se vec odavno nalazi u svim antivirusnim 
bazama... Postoji resenje ! Ako virus nema u sebi ugradjeno automatsko mutiranje 
posle odredjenog vremena, onda ga vi mozete mutirati rucno !
    Nacin koji cu opisati se odavno koristi i to je najprostiji nacin za prevaru 
antivirusa. Ovako se jos uvek moze prevariti skeniranje antivirusa, ali ne 
garantujem da ce te prevariti i heuristic metod skeniranja.


\x01  Kako poceti?
=-=-=-=-=-=-=-=-=-=

    Najpre morate napraviti jedan fajl, npr hannibal.txt. Zatim u njega unesite 
sledece:

n sample.com
a
int 20
rcx
2
w
q

Posle ovoga potrebno je da ukucate: 
	debug < hannibal.txt
	
Kada ovo odradite, onda ce se stvoriti fajl sample.com. Njega inficirajte sa tim 
virusom. Pazite se boot-sector virusa...


\x02  Sta dalje?
=-=-=-=-=-=-=-=-=

    Pokusajte skenirati taj fajl sa antivirusnim skenerom. Antivirus ga je 
detektovao. Antivirus, da bi detektovao neki virus, on skenira fajlove u potrazi 
za odredjenim stringom koji ga upucuje na neki virus. Recimo, na primer, antivirus 
trazi string koji u hex obliku izgleda ovako: B8 92 19 B7 21 CD

Idite odmah u debug. Ukucajte:
E 0100 b8 92 19 b7 21 cd     [ovo je string koji smo pronasli]

Zatim otkucajte 'U' i onda cete dobiti ovaj kod disassemblovan. On bi otprilike 
izgledao ovako: 

mov  ax,1992h
mov  bh,21h
int  21h

Koriscenjem Turbo Debugger-a mozete naci ovaj string u fajlu zarazenom ovim 
virusom. Ako ga nemate, onda ste osudjeni na dos-ov debug. Dakle, mi imamo:	  
	mov  ax,1992h
	mov  bh,21h
        int  21h

E sada kad bi zamenili mesta ovim dvema mov instrukcijama, onda bi vec dobili 
efekat ! To bi ovako izgledalo:
        mov  bh,21h
	mov  ax,1992h
        int  21h

Pokusajte sada skenirati takav fajl. BUM !!! Antivirus vise ne prepoznaje taj 
virus !!! Ovim postupkom mutiramo virus, odnosno sprecavamo njegovu detekciju, 
a uz to ostaje ista funkcionalnost virusa... Ovo mozete raditi  i sa ostalim 
instrukcijama, npr ako imate negde:
	mov al, 10h
	nop

U ovom kodu mozete takodje slobodno promeniti redosled. Zatim redosled mozete 
menjati i u nekoj grupi instrukcija, ali na tome se sad necemo zadrzavati jer 
je tu potrebno bolje poznavanje assemblera.


\x03  Kraj
=-=-=-=-=-=

    Nedovrseno... ;) Zahvaljujem se celom SST-u (Serbian Security Teamu), 
odnosno bivsem SHT-u na podrsci koju sam imao za sve vreme naseg druzenja.

    Pozdravi idu svim hackerima, phreakerima i crackerima ma gde god da su... 
(i onima koji se tako osecaju)