VIRUSNAME:      NEUROQUILA.N8FALL.A
URSPRUNG:       Deutschland
BEKANNT SEIT:   Februar 1995 (?)
VIRUSTYP:       Residenter Retrovirus, Stealth, Polymorph
GROESSE:        .EXE-Programme...........: 4554-4585 Bytes
                Speicher.................: 4688 Bytes
INFIZIERT:      .COM und .EXE-Programme
SCHADENSFN.:    Verlangsamung des Rechners (bei DIR), Textausgabe mit Pause
                Maus wird deaktiviert (unter DOS), zufaellige PrintScreens

<N8FALL> basiert offensichtlich auf <Neuroquila>, obwohl die Faehigkeit Fest-
platten und Disketten zu infizieren fehlt. Die Polymorphic-Engine stimmt bis
auf ein paar kleinere Aenderungen mit der von <Neuroquila> ueberein. Statt
dessen infiziert <N8FALL> jetzt auch beim Schliessen von Programmen (Fast
Infector) und neben EXE-Programmen befaellt <N8FALL> jetzt auch COM-Programme.

Wird ein infiziertes Programm gestartet entschluesselt sich der Virus zuerst
im Speicher und ueberprueft anhand der Speicherstelle 0:4e0h ob er bereits
aktiv ist. Ist das nicht der Fall belegt der Virus DOS- bzw. XMS-UMB oder
falls dies nicht moeglich ist Speicher unterhalb der 640K-Grenze. Es werden
4688 Bytes belegt und als SYSTEM-Bereich markiert. Der Virus benutzt wie
<Neuroquila> kein Einzelschritt-Modus (Tracer) zum Ermitteln des ursprueng-
lichen INT 21h-Einsprungs sondern sucht direkt innerhalb der HMA nach den
typischen Einsprung und patcht ihn so, das der Virus aufgerufen wird.
Die Adresse von INT 2Fh wird auf die gleiche Methode ermittelt, der Interrupt
selber aber nicht belegt. War die Suche nach den DOS-Kernel erfolgreich infi-
ziert der Virus ueber die "COMSPEC="-Angabe COMMAND.COM.

Bei COM-Programmen stellt der Virus die ersten drei Bytes des Programmes, bei
EXE-Programmen die urspruengliche MCB-Laenge (ohne Virus) wieder her bevor er
zum eigentlichen Programm springt. (MCB-Stealth)

Wie <Neuroquila> ueberprueft der Virus eine Reihe von INT 21h-Funktionen:
4Bh, 4Ch, 11h, 12h, 4Eh, 4Fh, 42h, 3Fh, 3Eh, 3Dh, 32h, 44h, 25h, 40h, 48h,
4Ah, 45h und 46h. Anhand dieser Funktionen kann der Virus den Dateizugriff
total kontrollieren. Programme werden beim Starten oder Schliessen infiziert,
wobei intensiver Gebrauch der SYSTEM FILE TABLE gemacht wird um u.a. den
Schreibzugriffmodus des geoeffneten Programmes zu aendern.
Der Virus infiziert nur Programme, die entweder "COM" als Dateierweiterung
oder "MZ"/"ZM" als Programmerkennung haben. Wird ein infiziertes COM-Programm
mit aktivem Virus umbenannt ist die Kopie sauber.
Desweiteren werden nur Programme mit mindestens 4000 Bytes und bei COM mit
maximal 60000 Bytes infiziert. Zusaetzlich werden keine Programme befallen,
die das aktuelle Systemdatum (Monat und Jahr) als Dateidatum haben oder
"NE*.*" / "IB*.*" heissen. Programme mit internen Overlays wie etwa Windows-
Programme werden ebenfalls nicht infiziert.
Der Virus benutzt den Textspeicher waehrend des Infizierens als Buffer. Ist
der Rechner im Graphikmodus (z.B. unter Windows) werden keine Programme
befallen. <N8FALL> verlaengert Programme um 4554-4585 Bytes, wobei sich der
Virus auf die uebliche Art ans Dateiende haengt.

Ist der Virus aktiv kann keine Dateiverlaengerung oder Veraenderung festge-
stellt werden. Der Virus ist vollstaendig stealth, benutzt aber nicht wie
viele andere Stealthviren das Dateidatum als Erkennung sondern die Datei-
laenge. CHKDSK meldet keine Fehler, DIR ohne Festplattencache wird ver-
langsamt. <N8FALL> kann nur in Programmen gefunden wenn der Virus nicht
aktiv im Speicher ist.

Wird ein Programm mit DEBUG aufgerufen reinigt <N8FALL> die Datei vorher
komplett. Ist die Schadesroutine aktiviert zeigt der Virus nach Verlassen
des Programmes folgenden Text an:

>                Invisible and silent - circling overland :
>
>                           \\\ N 8 F A L L ///
>
>                   Rearranged by Neurobasher - Germany
>
>          -MY-WILL-TO-DESTROY-IS-YOUR-CHANCE-FOR-IMPROVEMENTS-

Danach piepst der Rechner solange bis eine Taste gedrueckt wird.

Der Virus aktiviert sich 3 Monate nachdem COMMAND.COM infiziert wurde.
In zufaelligen Abstaenden fuehrt der Virus dann ein Print Screen durch
und veraendert INT 33h (Maus-Unterstuetzung).

Waehrend der Installation und des normalen Betriebs kontrolliert der Virus
ob Antiviren-TSR's installiert sind. Ist NEMESIS (1.10) resident wird der
Virus nicht aktiv, TBDRIVER und VSAFE/TSAFE werden im Speicher gepatcht und
unwirksam gemacht. Wird TBSCAN gestartet schaltet der Virus den Scanner in
den Kompabilitaets-Modus und kann somit umbemerkt bleiben.

Werden Programme mit dem Namen "ME*.*", "MI*.*", "MF*.*", "CH*.*", "CO*.*",
"SI*.*" oder "SY*.*" (z.B. MEM, SYSINFO, CHKDSK) gestartet gibt der Virus
den von ihm belegten Speicher scheinbar frei; diese Programme zeigen dann
die urspruengliche freie Speichermenge an.

Der Virus ist polymorph verschluesselt, es koennen keine Scanstrings ange-
geben werden. Die Engine entspricht der von <Neuroquila>, sie ist nur gering-
fuegig modifiziert. <N8FALL> ist zweistufig verschluesselt, wobei nur die
auessere Ebene polymorph ist. Die Engine erzeugt eine Vielzahl von moeg-
lichen Verschluesselungsmethoden; wobei der Zufallsgenerator stark die Zeit-
und Datumsfunktionen des System benutzt.

Der Virus stammt offenbar vom selben Autor wie <Tremor> und <Neuroquila>.



VARIANTE:       NEUROQUILA.N8FALL.B
GROESSE:        .EXE-Programme...........: 5801-5832 Bytes
                Speicher.................: 6048 Bytes

Dieser Virus ist wesentlich groesser als die urspruengliche Variante, ent-
haelt aber keine wesentlichen Veraenderungen am eigentlichen Viruscode.
Die Viruslaenge liegt jetzt bei 5801 bis 5832 Bytes bei infizierten Pro-
grammen und 6048 Bytes Speicherbelegung. Wie <N8FALL.A> belegt der Virus
den Speicher durch direkte MCB-Manipulation oder allokiert DOS bzw. XMS
UMB-Speicher.

Der Sprungbefehl zu dem eigentlichen Viruscode wurde von 0:4E0h nach 0:5E0h
verschoben, die Methode wie der Virus sich im DOS-Kernel aktiviert ist
gleichgeblieben.

Die Verschluesselung in der zweiten Stufe enthaelt jetzt Anti-Debugger
Tricks, wurde aber sonst nicht weiter modifiziert. Auch die eigentliche
polymorphe Verschluesselung ist identisch mit der von <N8FALL.A>.

Neu ist das der Virus jetzt nur Programme mit mindestens 5000 Bytes
infiziert, den Text "C:\NCDTREE\NAVINOC.DAT" und einen weiteren, voellig
selbststaendigen Virus <N8FALL.Companion> enthaelt.
Die Pfadangabe der Pruefsummendatei von Norton Antivirus liegt in ver-
schluesselter Form vor, wird allerdings seltsamerweise nicht weiter genutzt.
Ebenfalls wurde die Wartezeit der Ausloesefunktion von drei auf sechs Monate
erhoeht und der im Virus enthaltene, verschluesselte Text geaendert:

>                     "Any means necessary for survival"
>
>                               * N8FALL/2XS *
>
>           "By the perception of illusion we experience reality"
>
>                Art & Strategy by Neurobasher 1994 - Germany
>
>        "I don't think that the real violence has even started yet"
  
Anhand dieser Angabe scheint diese Variante zeitlich nach dem ursprueng-
lichen Virus <Neuroquila> programmiert worden zu sein, von dem auch grosse
Teile an Programmcode uebernommen wurden.

<N8FALL.B> erzeugt keine Print Screens mehr und manipuliert auch nicht mehr
Interrupt 33h (Maus), dafuer wird nach sechs Monaten Aktivitaet der zweite,
im Code enthaltene Virus <N8FALL.Companion> aktiviert. Wird ein verseuchtes
Programm mit einem Debugger geladen reinigt der Virus das Programm vor dem
Zugriff und zeigt nach Beenden des Debuggers obigen Text an.



VIRUSNAME:      NEUROQUILA.N8FALL.COMPANION
URSPRUNG:       Deutschland
VIRUSTYP:       Residenter Companion-Virus, Semi-Stealth, Fast Infector
GROESSE:        .COM-Programme...........: 527 Bytes
                Speicher.................: 672 Bytes
INFIZIERT:      .EXE-Programme (Indirekt)
SCHADENSFN.:    Keine

Dieser Virus wird von <Neuroquila.N8FALL.B> sechs Monate nachdem COMMAND.COM
infiziert wurde aktiviert.

<N8FALL.Companion> ist speicherresident und belegt 672 Bytes an konven-
tionellen DOS-Speicher indem der letzte MCB verkuerzt und als Systembereich
markiert wird. Als Selbsterkennung benutzt der Virus die Speicheradresse
0:5D2h an der bei aktivem Virus die Zahl 5832h zu finden ist.

INT 21h wird auf die uebliche Methode mittels direkter Manipulation der
Interrupttabelle belegt. Normalerweise wuerden Antivirus-Waechterprogramme
diesen Virus beim Installieren blockieren, aber da <N8FALL.B> bereits aktiv
ist und seinerseits viele der bekannten Schutzprogramme deaktiviert kann sich
<N8FALL.Companion> meist ungestoert aktivieren.

Der Virus infiziert Programme beim Aufruf der DOS-Funktionen "Programme
Starten" und "Datei Erstellen", wobei sich der Virus allerdings auf Disketten
nur beim Erstellen von Programmen verbreitet.
<N8FALL.Companion> prueft ob das gestartete oder erzeugte Programm EXE-
Strukturen ("MZ"-Check) hat und erzeugt dann gleichnamige COM-Programme, die
das READ-ONLY, HIDDEN und SYSTEM Dateiattribut sowie das Dateidatum auf den
1-1-94, 11:55:00 gesetzt haben. Diese erzeugten Dateien enthalten den Virus
in unverschluesselter Form und sind stets 527 Bytes lang.
Zu Programmen mit den Dateinamen "F-" erzeugt der Virus keine Datei, damit
wird verhindert das F-PROT den Virus bemerkt.

Ist der Virus aktiv versteckt er mittels Stealthroutinen bei der Anzeige von
Verzeichnissen die erzeugten doppelten Dateien, verursacht allerdings keine
Fehlermeldungen bei CHKDSK.

Ausser Programme zu infizieren hat dieser Virus keine weiteren Schadens-
funktionen.

Folgender Text kann in den 527 Bytes langen Dateien gefunden werden:

>                      -A-VICTORY-THAT-WON`T-LAST-

Heuristische Scanner wie F-PROT, TBSCAN oder AVP erkennen den Virus nicht.


[ (c) 1995 Stefan Kurtzhals, Virus Help Munich ]
