home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / 234.CRPTLET.TR6 < prev    next >
Text File  |  1992-09-27  |  63KB  |  1,175 lines

  1.               ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
  2.               CRYPT NEWSLETTER #6 (or something like that) - still
  3.               another in an occasional series of info-glutted, 
  4.               humorous monographs solely for the enjoyment of the
  5.               virus programming pro or enthusiast interested in the
  6.               particulars of cyber-electronic data replication and
  7.               corruption. 
  8.               
  9.               -Edited by URNST KOUCH. [Oct. 1992]
  10.               
  11.               ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^   
  12.               
  13.               This issue's top quote:
  14.               ******************************************************
  15.               "Giveitaway, giveitaway, giveitaway now!" 
  16.                           --long-haired, tattoo'd dolt from The
  17.                           Red Hot Chili Peppers, speaking out about
  18.                           viral source code at a recent computer 
  19.                           security seminar.
  20.               ******************************************************
  21.  
  22.   IN THIS ISSUE: Local NEWS...New Section: INCAPABILITIES - exposing the
  23.   flaws in various a-v software packages with Urnst Kouch and other
  24.   guest 'speakers' like Vesko Bontchev...Charles Bowen: Recipient
  25.   of National Dummkopf Award...rehash of US NEWS & WORLD REPORT/IRAQI 
  26.   COMPUTER VIRUS imbroglio...The INSUFF/MtE spawning viruses...
  27.   ...COMPUFON trojan...'ARTIFICIAL LIFE' book review...ZCOMM & Hyper-
  28.   ACCESS: more term programs (one with a-v scanning), definitely not for 
  29.   sissies...DIOGENES virus...sarcasm, trenchant wit, etc.
  30.   
  31.   
  32.   NEWS! NEWS! NEWS! NEWS! NEWS!
  33.  
  34.   IF THE SHOE FITS: Some users of the FidoNet's Virus echo have been seen
  35.   referring to moderator Frans Hagelaars as "Dutch" ever since Crypt
  36.   Newsletter renamed him back in August.
  37.  
  38.   IN CONTINUING FIDO VIRUS ECHO NEWS, Sara Gordon, the e.e.cummings of
  39.   antivirus-dom, has been seen flaming on baseball pro David Justice 
  40.   who provoked her by impugning her looks. We offer
  41.   to settle this dispute at the Crypt Newsletter. If Sara and David
  42.   will send cheap portraits of themselves (it must be the kind of photo
  43.   obtained from an arcade photo booth - you know, the ones you see
  44.   on the boardwalk in Ocean City, NJ.), Crypt Newsletter editors will
  45.   judge them on the basis of "looks" and publish the results in a
  46.   future issue.  The address of the Crypt Newsletter is:
  47.                    
  48.                    The heehee Desk
  49.                    Mr. Aggrieved, Assoc. Editor
  50.                    POB 1234
  51.                    Nether Poo-Stink, PA  18017
  52.  
  53.   LATE BREAKING GOSSIP: Pro-ballplayer Dave Justice was just seen 
  54.   cursing Paul Ferguson's name in the Virus echo. This nullifies the
  55.   Gordon/Justice 'looks' rate-down. It would have been unfair to
  56.   exclude Ferguson from the contest but the editors of the
  57.   newsletter are too busy to judge the expanded field of entrants,
  58.   so we decided to cancel. Hey, cool it wontcha, guys??
  59.   
  60.   But, on more serious matters, we excerpt a tiny segment of one of
  61.   Sara Gordon's mid-September FIDO flames for further comment:
  62.  
  63.   "...if you are interested in keeping information free, then learn 
  64.   to be responsible with its use. your freedom to information does 
  65.   not include the right to destroy it. its [sic] MY information too, 
  66.   and its [sic] not YOUR right to rip it up.
  67.  
  68.   "if you think killing people is cool, and are aware of the 
  69.   implications of your actions,i.e. knowing that your virus could 
  70.   wipe out some hospital database in some third world country, 
  71.   or even in u.s.a. in appalachia, where they cant [sic] afford backups, 
  72.   and effectively be responsible for the deaths of innocent people, 
  73.   then write them."
  74.  
  75.   WHoah! Whoah! Whoah! Sara! What a stretch. Let's entertain that
  76.   fool claim for a moment. Do you think a backwoods hospital would
  77.   have computers, but no hard copy system? (What if a fire broke out
  78.   in "RECORDS"?) But even if we let that slide for the 
  79.   sake of the argument, let's consider a different tool of destruction. 
  80.   Arms. The U.S. sell arms to lunatics on the left and right in 
  81.   "Third World Countries." Does anyone who makes them in this country 
  82.   get held responsible, or even LOSE ANY SLEEP, when civilians get 
  83.   blown away by the same guns in any number of mindless civil wars? 
  84.   Of course not, BECAUSE IT'S THE AMERICAN WAY TO BE AN INCONSIDERATE,
  85.   HYPOCRITICAL LOUSE. 
  86.   
  87.   So, jumping back to computer viruses, which are decidedly more trivial 
  88.   than the business end of a Claymore mine, it's totally ludicrous to even 
  89.   presume that virus programmers are "effectively responsible for the 
  90.   deaths of innocent people." Far better to waste your time, if you must 
  91.   Sara, arguing with the arms merchants than virus programmers, we think.
  92.  
  93.   In fact, The Crypt Newsletter decided to back this up with a little 
  94.   research on virus strikes in hospitals. Now keep in mind, although our
  95.   skills are much vaunted, we're still a relatively new publication
  96.   and your results may differ. Still, this is the best we could come
  97.   up with - two small newspieces purloined from CSERVE (who in turn
  98.   purloined them from the New England Journal of Medicine) ca. 1989.
  99.   
  100.   What follows is transcript:
  101. ---------------------------------
  102. HOSPITAL STRUCK BY COMPUTER VIRUS 
  103. ---------------------------------
  104.    (March 22) - 1989
  105.   Data on two Apple Macintoshes used by a Michigan hospital was
  106. altered recently by one or more computer viruses, at least one of
  107. which apparently traveled into the system on a new hard disk that
  108. the institution bought. 
  109.   In its latest edition, the prestigious New England Journal of
  110. Medicine quotes a letter from a radiologist at William Beaumont
  111. Hospitals in Royal Oak, Mich., that describes what happened when two
  112. viruses infected computers used to store and read nuclear scans that
  113. are taken to diagnose patients' diseases. 
  114.   The radiologist, Dr. Jack E. Juni, said one of the viruses was
  115. relatively benign, making copies of itself while leaving other data
  116. alone. However, the second virus inserted itself into programs and
  117. directories of patient information and made the machines
  118. malfunction. 
  119.   "No lasting harm was done by this," Juni wrote, because the
  120. hospital had backups, "but there certainly was the potential." 
  121.   Science writer Daniel Q. Haney of The Associated Press quoted
  122. Juni's letter as saying about three-quarters of the programs stored
  123. in the two Mac II PCs were infected. 
  124.   Haney said Juni did not know the origin of the less harmful
  125. virus, "but the more venal of the two apparently was on the hard
  126. disk of one of the computers when the hospital bought it new. ... 
  127. The virus spread from one computer to another when a doctor used a
  128. word processing program on both machines while writing a medical
  129. paper." 
  130.   Juni said the hard disk in question was manufactured by CMS
  131. Enhancements of Tustin, Calif. 
  132.   CMS spokesman Ted James confirmed for AP that a virus was
  133. inadvertently put on 600 hard disks last October. 
  134.   Says Haney, "The virus had contaminated a program used to format
  135. the hard disks. ... It apparently got into the company's plant on a
  136. hard disk that had been returned for servicing. James said that of
  137. the 600 virus-tainted disks, 200 were shipped to dealers, and four
  138. were sold to customers." 
  139.   James also said the virus was "as harmless as it's possible to
  140. be," that it merely inserted a small piece of extra computer code on
  141. hard disks but did not reproduce or tamper with other material on
  142. the disk. James told AP he did not think the Michigan hospital's
  143. problems actually were caused by that virus. 
  144.   --Charles Bowen [October's Crypt National Dummkopf]
  145.  
  146.  
  147.  
  148. ------------------------------
  149. MORE HOSPITALS STRUCK BY VIRUS 
  150. ------------------------------
  151.   (March 23) - 1989
  152.   The latest computer virus attack, this one on hospital systems, 
  153. apparently was more far- reaching than originally thought. 
  154.   As reported here, a radiologist wrote a letter to the New England
  155. Journal of Medicine detailing how data on two Apple Macintoshes used
  156. by the William Beaumont Hospital in Royal Oak, Mich., was altered by
  157. one or more computer viruses. At least one of the viruses, he said, 
  158. apparently traveled into the system on a new hard disk the
  159. institution bought. 
  160.   Now Science writer Rob Stein of United Press International says
  161. the virus -- possibly another incarnation of the so-called "nVIR" 
  162. virus -- infected computers at three Michigan hospitals last fall. 
  163. Besides the Royal Oak facility, computers at another William
  164. Beaumont Hospital in Troy, Mich., were infected as were some desktop
  165. units at the University of Michigan Medical Center in Ann Arbor. 
  166.   Stein also quoted Paul Pomes, a virus expert at the University of
  167. Illinois in Champaign, as saying this was the first case he had
  168. heard of in which a virus had disrupted a computer used for patient
  169. care or diagnosis in a hospital. However, he added such disruptions
  170. could become more common as personal computers are used more widely
  171. in hospitals. 
  172.   The virus did not harm any patients but reportedly did delay
  173. diagnoses by shutting down computers, creating files of non-existent
  174. patients and garbling names on patient records, which could have
  175. caused more serious problems. 
  176.   Dr. Jack Juni, the radiology who reported the problem in the
  177. medical journal, said the virus "definitely did affect care in
  178. delaying things and it could have affected care in terms of losing
  179. this information completely." He added that if patient information
  180. had been lost, the virus could have forced doctors to repeat tests
  181. that involve exposing patients to radiation. Phony and garbled files
  182. could have caused a mix-up in patient diagnosis. "This was
  183. information we were using to base diagnoses on," he said. "We were
  184. lucky and caught it in time." 
  185.   Juni said the virus surfaced when a computer used to display
  186. images used to diagnose cancer and other diseases began to
  187. malfunction at the 250-bed Troy hospital last August. In October, 
  188. Juni discovered a virus in the computer in the Troy hospital. The
  189. next day, he found the same virus in a similar computer in the
  190. 1,200-bed Royal Oak facility. 
  191.   As noted, the virus seems to have gotten into the systems through
  192. a new hard disk the hospitals bought, then spread via floppy disks. 
  193.   The provider of the disk, CMS Enhancements Inc. of Tustin, 
  194. Calif., said it found a virus in a number of disks, removed the
  195. virus from the disks that had not been sent to customers and sent
  196. replacement programs to distributors that had received some 200
  197. similar disks that already had been shipped. 
  198.   However, CMS spokesman Ted James described the virus his company
  199. found as harmless, adding he doubted it could have caused the
  200. problems Juni described. "It was a simple non-harmful virus," James
  201. told UPI, "that had been created by a software programmer as a
  202. demonstration of how viruses can infect a computer." 
  203.   Juni, however, maintains the version of the virus he discovered
  204. was a mutant, damaging version of what originally had been written
  205. as a harmless virus known as "nVIR." He added he also found a second
  206. virus that apparently was harmless. He did not know where the second
  207. virus originated. 
  208.   --Charles Bowen [October's Crypt National Dummkopf]
  209. --------------------------------------------------------------------
  210.  
  211.   
  212.   Hmmmmm. Pretty slim pickin's, Sara Gordon. No fatalities, no
  213.   injuries, no nothing. A lot of 'but if's', though. But at the
  214.   Crypt Newsletter we don't count 'but if's'. 'But if's' are the
  215.   domain of mediocre bureaucrats, Pentagon nuclear war planners,
  216.   corporate stiffs and American double-knit upper management types.
  217.   
  218.   However, here at the editorial bungalow, we know you were riled 
  219.   on the FidoNet when you e-mailed the now deemed idiot observation 
  220.   about virus programmers being "effectively responsible for the deaths of
  221.   innocent people," so we won't give you this issue's "National Dummkopf" 
  222.   award. It's Charles Bowen's (for reasons described below). Your 
  223.   rep remains unblemished.
  224.  
  225.   All readers are invited to e-mail any evidence of "computer virus 
  226.   induced human death" to the Crypt Newsletter at any time. We'll put it 
  227.   in a news piece called, appropriately, "Computer Virus Induced Human 
  228.   Death (or Man Bites Dog)" That has a nice ring, don't you think?
  229.  
  230. ***************************************************************************
  231. PITY CSERVE's CHARLES BOWEN, HE CAN'T TALK AND CHEW GUM AT THE SAME TIME. 
  232. AND THAT'S WHY CRYPT NEWSLETTER REPRINTS THIS STORY WITHOUT PERMISSION BUT 
  233. WITH A "BOWEN TRANSLATION" SO THAT YOU ALL MIGHT BENEFIT. YOU GOT IT,
  234. CHARLES BOWEN GET'S THIS ISSUE's 'NATIONAL DUMMKOPF' AWARD!! HE CAN SHARE IT
  235. WITH JEFFREY O. KEPHART OF IBM's HIGH INTEGRITY COMPUTING LAB, AS YOU
  236. SHALL SEE.
  237. {Comments in []'s by URNST KOUCH}
  238. **************************************************************************
  239. CSERVE's Online Today, Sept. 8, 1992
  240.  
  241. SPREAD OF VIRUSES SLOWER THAN SOME THINK, IBM RESEARCH SUGGESTS 
  242.  
  243.   (Sept. 8) 
  244.   A study conducted by an IBM computer scientist at the Thomas J. 
  245. Watson Research Center suggests computer viruses may spread more
  246. slowly and less widely than some current estimates project. 
  247.   IBM said in a statement from Yorktown Heights, N.Y., that an
  248. immediate implication of the work "is that the computer virus
  249. problem will not become explosively rampant as some experts [WHO??] have
  250. predicted on the basis of conventional epidemiological models that
  251. overlook important constraining factors." 
  252.   IBM said the discrepancy in projections arises from "topology," 
  253. that is, the structure of the connectedness among individuals in the
  254. population through which infection spreads. [You said a
  255. mouthful.]
  256.   Jeffrey O. Kephart of IBM's computer sciences department, said the
  257. importance of topology in analyzing the way things like viruses and
  258. rumors [What the Hell is this nonsense? Viruses are related to rumors?]
  259. Mebbe so, mebbe so. But you're gonna have to go back to Michelangelo
  260. for that story.] spread in a population is seldom taken into sufficient
  261. account. 
  262.   Kephart said most epidemiological projections of the spread of
  263. viral infections -- in people as well as in computers -- are based
  264. upon the assumption of a fully-connected world: in effect, a world
  265. in which everyone is connected to everyone else. [No, not true. 
  266. "Epidemiology" generally deals with the spread of disease in living 
  267. populations where every member of the affected group is thought to 
  268. have some potential for contracting the "bug." This "everyone connected 
  269. to everyone else" stuff is bogus.] For example, members the 
  270. "homogenous-mixing" topology makes epidemiology easy, he observed, 
  271. but is obviously not realistic. [Eh? Good jargon, though. Your guess is 
  272. as good as mine and I KNOW something about this stuff.]
  273.   Nonetheless, says IBM, Kephart's research "shows that it works
  274. rather well for certain kinds of infectious diseases, particularly
  275. air-borne ones like influenza."  [Does it? Evidence? Where is it?]
  276.   He says computer-virus infections present quite a different
  277. story, noting that they are usually spread by friends exchanging
  278. disks that contain the virus. [Isn't this rather reminiscent of 
  279. the popular description sof how the AIDS virus is transmitted?
  280. So just how is computer virus spread different? It'c certainly 
  281. not clear at all here.] 
  282.   Kephart, a member of IBM's High Integrity Computing Laboratory, 
  283. says the kind of connectedness that characterizes the spread of
  284. computer viruses is thus not homogenous but local. 
  285.   In this topology, "individuals connect not to everyone else but
  286. only to their nearest neighbors who [have compatible computers, and] in 
  287. turn, are connected [only] to their neighbors [who have compatible
  288. computers], and so on," says the statement. [I'm sure this is what
  289. Kephart really means.]
  290.   "The effects of different topologies on the spread of an infection
  291. becomes striking when the homogenous-mixing and local models are
  292. compared. In a fully-connected, homogenous population, Kephart
  293. explained, an infectious disease spreads exponentially -- 
  294. explosively -- and all-encompassingly. [Bah. This is unadulterated horse
  295. shit. Most examples of disease never spread in
  296. this manner, but, then, there goes the story! The spread of disease
  297. in human populations is remarkable for its variability, not 
  298. homogeneity. If what he says happens were true, we'd all die of
  299. cholera everytime there's an outbreak in Peru.]  In a local topology, 
  300. he said, infection is transmitted sparsely, from each individual to 
  301. just a few others." 
  302.   --Charles Bowen 
  303.  
  304. [While Kephart's research is doubtless interesting, you'd never know it 
  305. from Bowen's short, tangled mess. Full of jargon and bullshit, all
  306. you can get from it is that computer viruses, on the whole, are restricted
  307. to local outbreaks. Big deal, didn't we already know that?
  308.  
  309. Perhaps a better word for characterizing computer virus infection is the
  310. term "smoldering." While this is only from personal experience, it seems
  311. virus infections "smolder" on a local basis, mostly unseen and untrackable,
  312. but very occasionally erupting into runaway outbreaks which disrupt school
  313. systems, corporate workplaces, and probably most often, the private
  314. home where some chowderhead is engaged in obsessive/compulsive software 
  315. piracy. 'Smoldering,' BTW is a term epidemiologists often use to describe 
  316. various natural infections.]
  317.                                 
  318.                                  -*-
  319.  
  320. **************************************************************************
  321. AND IN CASE YOU DIDN'T KNOW WHERE WE GOT THE IDEA FOR THE 'NATIONAL 
  322. DUMMKOPF' AWARD, THIS REPRINT OF THE US NEWS & WORLD REPORT/IRAQI 
  323. COMPUTER VIRUS BOONDOGGLE MAY REFRESH YOUR MEMORY
  324. **************************************************************************
  325.  
  326. From CSERVE's OnLine Today, Sept 11, 1992 [No, I don't know why
  327. they've chosen to reprint it now.]: Monitor -  {comments in [] by URNST}
  328.  
  329. US HIT IRAQI COMPUTERS WITH VIRUS BEFORE GULF WAR, MAGAZINE SAYS 
  330.  
  331.   (Jan. 11) 
  332.   A weekly news magazine is reporting US intelligence agents
  333. inserted a virus into a network of Iraqi computers tied to that
  334. country's air defense system several weeks before the start of the
  335. Persian Gulf War a year ago. 
  336.   US News and World Report, citing two unidentified senior US
  337. officials, reports in its issue dated next week the virus was
  338. designed by the supersecret National Security Agency at Fort Meade, 
  339. Md., and was intended to disable a mainframe computer. The magazine
  340. says the virus appeared to have worked, but gave no details. 
  341.   The report is part of a book, based on 12 months of [somewhat
  342.   shakey] research by US
  343. News reporters, called "Triumph Without Victory: The Unreported
  344. History of the Persian Gulf War," to be published next month. 
  345.   The magazine also said the virus operation may have been
  346. irrelevant because of the allies' overwhelming air superiority. 
  347.   It reported the secret operation began when US intelligence agents
  348. identified a French-made computer printer that was to be smuggled
  349. from Amman, Jordan, to a military facility in Baghdad. 
  350.   The Associated Press, quoting the magazine report, says, "The
  351. agents in Amman replaced a computer microchip in the printer with
  352. another microchip that contained the virus in its electronic
  353. circuits. By attacking the Iraqi computer through the printer, the
  354. virus was able to avoid detection by normal electronic security
  355. measures, the report said." 
  356.   The magazine goes on, "Once the virus was in the system, the US
  357. officials explained, each time an Iraqi technician opened a
  358. `window' on his computer screen to access information, the contents
  359. of the screen simply vanished." 
  360.   --Charles Bowen 
  361.  
  362.  
  363. WAS REPORT OF US VIRUS ASSAULT ON IRAQI SYSTEM BASED ON A SPOOF? 
  364.  
  365.   (Jan. 14) 
  366.   A 1991 April Fools Day spoof in a computer magazine has writers
  367. and editors at US News and World Report rechecking sources on its
  368. report that the US inserted a virus into a network of Iraqi air
  369. defense computers several weeks before the start of the Persian Gulf
  370. War. 
  371.   As reported earlier, the news magazine cited two unidentified
  372. senior US officials in reporting the alleged virus was designed by
  373. the supersecret National Security Agency at Fort Meade, Md., and was
  374. transmitted by a printer smuggled into Baghdad. The magazine said
  375. the virus appeared to have worked, but gave no details. 
  376.   However, Associated Press writer Robert Burns reports today, 
  377. "Trouble is, a computer industry publication, InfoWorld, sketched
  378. out a strikingly similar scenario in a column that ran in its April
  379. 1, 1991, issue. That article was an April Fool's joke, pure fantasy
  380. dreamed up by writer John Gantz." 
  381.   This news has the folks at US News and World Report concerned. The
  382. main author of the magazine's report, Brian Duffy, told Burns, "I
  383. have no doubt" US intelligence agents carried out such an
  384. operation, though he acknowledged the similarities with the
  385. InfoWorld article were "obviously troubling." 
  386.   Duffy said the magazine is rechecking its sources to determine
  387. whether details from InfoWorld's spoof "leeched into our report." 
  388.   [No news on whether desktop PC's at US NEWS & WORLD REPORT were infected
  389.   by a LEECH virus variant.]
  390.   As noted, US News said in print it had learned from unidentified
  391. US officials that intelligence agents placed the virus in a computer
  392. printer being smuggled to Baghdad through Amman, Jordan. It said the
  393. printer, described as French made, spread the virus to an Iraqi
  394. mainframe computer that the magazine said was critical to Iraq's air
  395. defense system. 
  396.   Burns notes the InfoWorld article was not labeled as fiction but
  397. "the last paragraph made clear that it was an April Fool's joke." 
  398.  [What does this mean: Said [article] was not labeled as fiction
  399.  but "the last paragraph made clear it was an April Fool's joke"?
  400.  See Orwell's "1984" for other good examples of "newspeak/doublespeak."]
  401. Gantz, the InfoWorld author, told Burns his article was "totally a
  402. spoof," and that he had no knowledge of any such intelligence
  403. operation. 
  404.   Burns said questions about the accuracy of the US News story arose
  405. yesterday "when a number of readers called The AP to say the virus
  406. account was curiously like the InfoWorld article, which Duffy said
  407. he hadn't previously seen." [And monkeys are flying out my ass.]
  408.   The InfoWorld spoof said the virus was designed by the National
  409. Security Agency for use against Iraq's air defense control system, 
  410. and that the CIA had inserted the virus into a printer being
  411. smuggled into Iraq through Jordan before the Persian Gulf war began
  412. last January. 
  413.   The article continued, "Then the virus was on its own, and by
  414. Jan. 8, the allies had confirmation that half the displays and
  415. printers in the Iraqi air defense system were permanently out of
  416. commission." 
  417.   The US News report also said the virus was developed by the
  418. National Security Agency. Both the publications stressed the reason
  419. for placing the virus in the printer was to circumvent normal
  420. anti-tampering systems in mainframe computers. 
  421.   AP noted, however, some private computer experts said it seemed
  422. highly unlikely that a virus could be transferred to a mainframe
  423. computer from a printer. 
  424.   Winn Schwartau, executive director of the International
  425. Partnership Against Computer Terrorism, observed, "A printer is a
  426. receiving device. Data does not transmit from the printer to the
  427. computer." [Winn Schartau, obviously a cool guy, knows 
  428. a line when he hears it.]
  429.   --Charles Bowen 
  430.  
  431.  
  432. MAGAZINE STICKS TO ITS GUNS ON ITS PERSIAN GULF WAR VIRUS STORY 
  433.  
  434.   (Jan. 17) 
  435.   Contending it has re-checked its sources, US News & World Report
  436. says it is standing behind its original story that US intelligence
  437. agents tried to disable an Iraqi military network with a computer
  438. virus transported to Baghdad in a printer just before the start of
  439. the Persian Gulf War. 
  440.   The Associated Press reports the magazine said it had confirmed
  441. the attempt was made, as reported in its Jan. 20 issue, but had not
  442. been able to determine whether the virus attempt was successful. 
  443.   That original story was called into question when journalists
  444. noted its striking [I saw both articles. "Striking similarity" aren't
  445. the words I would use. How about "so exact it's plagiarism."]
  446. similarity to a 1991 April Fools Day spoof
  447. published in the computer magazine, InfoWorld. 
  448.   AP quoted US News editors as saying in a statement, "We took
  449. seriously questions which were raised about the accuracy of this
  450. story and have re-reported it. We have confirmed that, as we
  451. reported, a high-level intelligence operation based in Jordan was
  452. targeted at Iraqi air defenses. As we reported, a computer virus was
  453. inserted into a French-made computer printer that was to be smuggled
  454. into Iraq to disable its air defense system. What cannot be
  455. confirmed is whether the operation was ultimately successful." [LIARS.]
  456.   Brian Duffy, the magazine's assistant managing editor for
  457. investigative projects, told the wire service the original sources
  458. believed the system must have worked because Iraqi air defense guns
  459. opened up before any US airplanes had appeared. [Liar, liar, pants
  460. on fire. How does that prove anything? Mebbe the Iraqis were jumpy 
  461. is a far better explanation.]
  462.   Duffy said the magazine checked [Liar, liar, pants on fire.]
  463.   with two senior Pentagon officers
  464. who confirmed the planting of the virus in the printer, but said it
  465. was not known whether the printer ever reached Iraq. [Hoho! That's an 
  466. interesting way to get off the hook. I'll have to remember it.]
  467.   --Charles Bowen 
  468.  
  469. -------------------------------------------------------------------
  470. AND WE'RE STILL KEEPING AN EYE ON THE WORLD OF CORPORATE STIFFS (OR
  471. ANOTHER ONE SOURCE, STRONG BUT VAGUE NEWSPIECE):
  472. -------------------------------------------------------------------
  473. BEWARE OF THE INFESTED UNDERGROUND BBS - from LAN Times, Sept. 14, 1992
  474.  
  475.     Virus-authoring toolkits for creating rogue code are working their way
  476. into the arsenals of the nation's top computer crackers.
  477.     The initial distribution point for this new variety of CASE tool is an
  478. underground BBS sponsored by a select fraternity of highly intelligent, but
  479. socially inept, teens.
  480.     Some experts fear the toolkits could increase the crackers' productivity
  481. exponentially, enabling them to generate viruses far faster than the security
  482. industry could detect each new strain and come up with antidotes or vaccines.
  483.     "The current crop of virus-authoring tools have so far only produced only
  484. mediocre viruses, and some don't work at all," said one security expert who
  485. has examined the code. "However, some of these fledgling viruses could prove
  486. lethal.  All the authors would have to do is simply alter one piece of the
  487. instruction code."
  488.     The BBS fraternity is thus far confined to about 25 members, with dozens
  489. more "wanna-be's" trying to penetrate the inner circle.  To gain acceptance,
  490. newcomers must establish their bona fides.
  491.     First, they get the attention of the ringleaders with a creative login
  492. name.  This is usually a historical character or an outlandish nickname, such
  493. as "Dr. Doom" or "Master Blaster."
  494.     Next comes the initiation rite.
  495.     "This usually consists of uploading a new, exotic virus that the crackers
  496. haven't seen or heard of," the security expert told LAN Times.  If the new
  497. guys do indeed upload such a virus, the BBS ringleaders will usually let them
  498. download one of the virus writing tools.
  499.     "The BBS is really the equivalent of a clubhouse or fraternity for these
  500. kids," said another source.  
  501.     Electronic bulletin boards are legitimate sources of information accessed
  502. by hundreds of thousands of users each day.  And, ironically, the legitimate
  503. BBSes are often the best sources for the cracker network.  There is one BBS in
  504. San Francisco whose members are made up almost entirely of security
  505. practitioners.
  506.     Among the files it disseminates is 40HEX, which contains disassemblies of
  507. viruses.  While the sponsors of this BBS are the good guys, anyone can get
  508. access by paying $45 for a membership in the National Computer Security
  509. Association (NCSA).
  510.     The NCSA has about 1,000 members, and all of them - security professionals
  511. and crackers alike - can download virus code from the BBS.  --L.D.
  512.                                                     
  513.    [This story was obviously 'leaked' by some holier-than-thou fink in 
  514.    the anti-virus community who's got a professional axe to grind with the 
  515.    NCSA. Christ, these people will eat themselves if left alone long
  516.    enough.] 
  517.  
  518. ****************************************************************************
  519.         INCAPABILITIES!! - a new Crypt column discussing plotted weaknesses
  520.         INCAPABILITIES!! - in current editions of antivirus software.
  521.         INCAPABILITIES!! - This month's kickoff report by Vesko Bontchev,
  522.         INCAPABILITIES!! - culled from a Virus Digest/FidoNet transmission.
  523.                            Software pack (the INSUFF/MtE spawning viruses)
  524.                            and additional research by URNST KOUCH.
  525.  
  526.    THE MTE, POLYMORPHIC VIRUSES AND SCANNING TECHNOLOGY (OR LACK OF IT)
  527.  
  528. VIRUS-L Digest   Thursday, 10 Sep 1992    Volume 5 : Issue 150
  529.  
  530.  
  531. Date:    09 Sep 92 19:31:01 +0000
  532. >From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  533. Subject: Scanners and polymorphic viruses (PC)
  534.  
  535. Hello, everybody!
  536.  
  537. With the advent of the sophisticated polymorphic viruses like Dark
  538. Avenger's Mutating Engine, it is becoming more and more obvious that
  539. the scanners have really hard time to detect all infections. I have
  540. already posted several times articles about how well (or, more
  541. exactly, how bad) the different scanners detect the MtE-based viruses.
  542. Several people have asked me why I am testing only MtE detection
  543. capabilities, since none of the currently existing MtE-based viruses
  544. is intelligent enough to spread widely and to be a significant danger.
  545.  
  546. I am doing this because the MtE is one of the most sophisticated tool
  547. for building polymorphic viruses and presents a lot of trouble to the
  548. producers of scanning software. Therefore, the inability to detect the
  549. MtE-based viruses shows very well how limited the scanners are - the
  550. MtE has been available since almost a year, yet only about a dozen
  551. scanners achieve at least some success in detecting it. Of them about
  552. the half are unable to detect it reliably.
  553.  
  554. However, the MtE-based viruses are not the only polymorphic viruses
  555. which present problems to the scanners... I have tested several
  556. scanners on a lot of examples of some of the most polymorphic viruses.
  557. There is clear need to use a lot of examples, since some scanners are
  558. able to detect only one or two instances of some polymorphic viruses -
  559. the examples that the producer of the scanner has...
  560.  
  561. I used the following viruses during the tests:
  562.  
  563.  Standard CARO name:   Number of different mutants generated:
  564. /-------------------   --------------------------------------
  565.  
  566. Andryushka.A           46
  567. Emmie                  16
  568. Haifa.Haifa            105
  569. Haifa.Motzkin          101
  570. Involuntary.A          8
  571. Involuntary.B          89
  572. Maltese_Amoeba         39
  573. MtE_0_90.Dedicated     96
  574. MtE_0_90.Pogue         98
  575. MtE_0_90.Questo        101
  576. MVF                    96
  577. Necros                 115
  578. PC-Flu_2               35
  579. Silly_Willy            93
  580. Simulate               29
  581. Slovakia.2_02          81
  582. Slovakia.3_00          57
  583. StarShip               148
  584. Tequila                68
  585. Todor                  101
  586. V2Px.V2P1              35
  587. V2Px.V2P2              8
  588. V2Px.V2P6              27
  589. V2Px.V2P6Z             61
  590. WordSwap.1391          3
  591. WordSwap.1495          10
  592. Whale                  164 (covering mutants #00 to #33)
  593.  
  594. The following scanners were used during the tests:
  595.  
  596.  Scanner:      Version:        Producer:
  597. /--------      --------        ---------
  598.  
  599. FindVirus      4.34            S & S International
  600. F-Prot         2.05            FRISK Software
  601. VIRUSCAN       95              McAfee Associates
  602. HTScan         1.8             Harry Thijssen
  603. VirX           2.4             Microcom
  604. AntiVir IV     4.04            H+BEDV
  605. Anti-Virus+    4.20.01         IRIS
  606. CPAV           1.0             Central Point Software
  607.  
  608. Some comments. You all know the first three products; I used the
  609. latest versions available.
  610.  
  611. HTScan is a user-programmable scanner. It depends on a text file,
  612. containing wildcard scan strings. Since most polymorphic viruses
  613. cannot be detected this way (they need algorithmic approach), I
  614. tested another feature of the scanner - the so-called AVR modules.
  615. They are loadable at runtime small programs, which are executed by
  616. the scanner and are supposed to perform algorithmic detection of
  617. those polymorphic viruses, which cannot be detected with simple or
  618. even with wildcard scan strings. In this particular version, there
  619. are AVR modules for Maltese_Amoeba, MtE-based viruses, and the V2Px.*
  620. series.
  621.  
  622. VirX I couldn't test. It does something incredibly stupid - tries to
  623. keep the whole report file in memory. Of course, it soon runs out of
  624. memory, so not record is kept about what viruses are detected and
  625. which are not. I did only a partial test - on the MtE-based viruses
  626. only.
  627.  
  628. We have only a very ancient version of CPAV, so the test results for
  629. it are not up-to-date. That version tried to detect only V2Px.* and
  630. Whale. Unsuccessfully, on the top of that...
  631.  
  632. Here are the results of the tests. Note that when I say that a scanner
  633. reliably detects a virus, this holds only for these tests. It does not
  634. mean that it will be able to detect all possible instances of the
  635. virus; it just means that I have been unable to find an instance that
  636. it does not detect. However, when I say that a scanner does not detect
  637. a virus reliably, this means that it misses at least one example and I
  638. have proven this.
  639.  
  640. FindVirus detected all infected files. However, this result is not
  641. very fair towards the other scanners, since Dr. Solomon had access to
  642. the infected samples, before submitting that version of the scanner.
  643. This was not so with the other anti-virus producers.
  644.  
  645. F-Prot failed to detect at all Necros, Silly_Willy and Todor. It
  646. failed to detect reliably Andryushka.A, Whale (mutant #32), and
  647. V2Px.V2P6Z (only one example missed). It detected reliably all other
  648. viruses.
  649.  
  650. VIRUSCAN does not detect at all Andryushka.A and StarShip. The latter
  651. is rather strange, since I have submitted examples of this virus to
  652. McAfee Associates months ago. The scanner does not detect reliably
  653. MtE_0_90.Questo, MVF, Slovakia.2_02, Slovakia.3_00, V2Px.V2P6Z (only
  654. one example missed) and Whale (mutant #33 missed). It also sometimes
  655. misidentifies MtE_0_90.Pogue as 7thSon (when the virus is not
  656. encrypted), but SCAN is proverbial with its lack of exact
  657. identification. It succeeded to detect the other viruses reliably.
  658.  
  659. VirX tested on the MtE-based viruses only still does not recognize
  660. those viruses reliably. It missed 12 of the total 292 examples.
  661.  
  662. AntiVir IV (a German anti-virus product) does not detect at all
  663. Andryushka.A, Emmie, Haifa.Haifa, Haifa.Motzkin, Involuntary.A,
  664. Involuntary.B, MVF, Necros, PC-Flu_2, StarShip and Todor. It failed to
  665. identify correctly V2Px.V2P2 (one missed example) and Whale (several
  666. mutants). The other viruses were detected reliably - even the
  667. MtE-based one, with the exception that the non-encrypted files
  668. infected with an MtE-based virus were reported to contain two viruses.
  669.  
  670. HTScan's AVR module for Maltese_Amoeba (IRISH.AVR) doesn't detect the
  671. virus reliably. Surprisingly, the collection of wildcard scan strings
  672. for the same virus, which is present in the text database, -does-
  673. detect this virus reliably. So, my advice to the users of HTScan is to
  674. delete the file IRISH.AVR and to rely on the database of signatures.
  675. The module for Haifa.Haifa detected reliably all instances of the
  676. virus, but didn't detect even one instance of the related virus
  677. Haifa.Motzkin. The module which is supposed to detect MtE-based
  678. viruses (its version is 2.3) failed to detect the non-encrypted
  679. examples, infected with MtE_0_90.Pogue and MtE_0_90.Questo. The module
  680. for the V2Px viruses (called "Washburn") detects reliably V2Px.V2P1,
  681. but missed one instance of V2Px.V2P2, three instances of V2Px.V2P6 and
  682. lots of instances of V2Px.V2P6Z. The Whale virus was detected reliably
  683. by the collection of scan strings in the database.
  684.  
  685. Anti-Virus+ does not detect at all Andryushka.A, Emmie, MVF, Necros,
  686. Silly_Willy, Necros, Slovakia.2_02, Slovakia.3_00, StarShip, Tequila,
  687. Todor, WordSwap.1391 and WordSwap.1485. It did not detect reliably
  688. Involuntary.A (in SYS files), MtE_0_90.Dedicated, MtE_0_90.Questo,
  689. V2Px.V2P6, V2Px.V2P6Z and Whale (several mutants). The other viruses
  690. were detected reliably.
  691.  
  692. The above tests clearly show that most of the current scanners are
  693. still unable to cope with the existing polymorphic viruses. Even with
  694. such well known viruses like V2P6 and MtE. At least one scanner was
  695. unable to detect even Tequila! This virus is quite widespread and can
  696. be detected with a few wildcard scan strings (3-4, I believe). And in
  697. the near future we'll see more and more polymorphic viruses...
  698.  
  699. If some producer of scanning software thinks that his product is able
  700. to show better results but I have missed to test it, s/he is welcome
  701. to contact me and provide me a copy of their product (or tell me where
  702. to get it, if it is available through anonymous ftp). I am ready to
  703. test it and to publish the results, provided that:
  704.  
  705. 1) The scanner is able to run without user intervention. I don't want
  706. to be prompted to "press any key" each time a virus is found.
  707.  
  708. 2) The scanner is able to produce a report file.
  709.  
  710. 3) The scanner is able to output in the report file the names of all
  711. files being scanned, not only those that it considers to be infected.
  712.  
  713. 4) The scanner is requires a reasonable amount of memory. For
  714. instance, Norton Anti-Virus 2.1 refused to run in about 400 Kb free
  715. memory.
  716.  
  717. A description how to instruct the scanner to conform to the above
  718. requirements (i.e., secret options, etc.) is welcome.
  719.  
  720. Regards,
  721. Vesselin
  722.  
  723. Vesselin Vladimirov Bontchev          Virus Test Center, University of
  724. Hamburg
  725. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik -
  726. AGN
  727. ** PGP public key available on demand. **    Vogt-Koelln-Strasse 30, rm. 107
  728. C
  729. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54,
  730. Germany
  731.                                    -*-
  732.  
  733.     Well, now, if only Vesko would clean up his English skills the report
  734.     would have been damn near perfect.
  735.  
  736.     In any case, the report gets right to the heart of this issue's software
  737.     offering: the INSUFFICIENT MEMORY (or INSUFF/INSUFFERABLE) viruses.
  738.  
  739.     If you're a virus collector, you know MtE loaded programs are a hot
  740.     item. Even though the Engine is a genuine White Elephant (hobbled 
  741.     by incredibly poor documentation), because of judicious media 
  742.     attention and perfect p.r. timing by anti-virus software developers, 
  743.     it remains an object of keen interest to many rather poorly informed 
  744.     individuals.
  745.  
  746.     So, for your educational pleasure the Crypt Newsletter has worked up a
  747.     number of simple MtE-loaded companion viruses, unique if only because
  748.     no one but us has come up with the stupid idea of using the MtE in 
  749.     a spawning program.
  750.  
  751.     In keeping with Vesko's results, these viruses are not detected by
  752.     the SCAN 95b, CPAV, VIREX or NAV's most recent roll-outs. In regards,
  753.     to the latter I include a press release from SYMANTEC, for your
  754.     review:
  755.  
  756.      "Our AntiVirus Labs tested the detection capabilities of The Norton 
  757.       AntiVirus v2.1 against the Mutation Engine, which created over 
  758.       900,000 mutations during our test.  The Norton AntiVirus v2.1 
  759.       detected all 900,000, and will detect them on your system too, 
  760.       before they destroy your data."
  761.  
  762.       Here at the Crypt Newsletter we feel fortunate to have gotten those
  763.       900,001st, 900,002nd and 900,003rd MtE mutations that NAV 2.1 cannot 
  764.       detect. Ruh-hemmmhmmmm. Perhaps SYMANTEC shouldn't be so hasty in 
  765.       jobbing out these tasks to Gary Watson in the future.
  766.       
  767.       [It's an inside joke.]
  768.       
  769.       In any case, F-PROT 2.05, tbSCAN (ThunderByte) and AVScan v.097 (beta) 
  770.       (DataTechnik) do detect the MtE variants spawned from the viruses 
  771.       in this issue. tbSCAN, according to its documentation, disassembles 
  772.       the virus on the fly. It's easy to see why developer Frans Veldman 
  773.       may have decided to go this route if you load the INSUFF viruses into 
  774.       a debugger like ZanySoft's ZD86 and 'proc' step through them. (Or if 
  775.       you're ballsy, just 'Go.') It takes only an instant for the virus to 
  776.       'unspool' in memory; a 'step through' through the MtE decryption key 
  777.       follows a distinct pattern for every 'mutant.' AVScan v. 097 did a 
  778.       nice job on them, too, even correctly identifying encrypted and 
  779.       unencrypted forms. However, only the techies will be using tBSCAN and 
  780.       AVScan. Your average mook lashes himself to SCAN, CPAV, VIRX, or NAV 
  781.       and these programs remain sadly inadequate when engaging 'new' MtE 
  782.       viruses. In our benchtop tests, all four failed to detect any mutants 
  783.       generated by our closely related school of spawning viruses.
  784.       
  785.  
  786.       And that brings the discussion around to "Why SPAWNING, for crying
  787.       out loud?"
  788.  
  789.       We shall tell you. The current edition of CPAV and a number of
  790.       other no-name retail a-v packages are COMPLETELY vulnerable to
  791.       penetration by companion viruses even with default resident
  792.       protection and integrity checking enabled. To understand this,
  793.       you must recall the spawning viruses don't actually touch your
  794.       files. Instead, the average spawner goes out at infection time,
  795.       looks for a target .EXE file and creates a duplicate of itself
  796.       as a 'companion' .COM file to the targeted .EXE. Then when you
  797.       call that .EXE, DOS looks around, finds a .COM (the virus) with
  798.       the same name and loads it instead.  Usually, the virus stores
  799.       itself as a hidden, read-only, system file to elude casual
  800.       observation and this is what the INSUFF programs do.
  801.  
  802.       In bench-top tests, CPAV DID NOT DETECT ANY of our companion
  803.       virus infections. In fact, it added the 'companion' files
  804.       to its .CPS integrity listings without a squeak. 
  805.       (CPAV was installed on our test system using the
  806.       recommended defaults.)  In comparison, Stiller Research's
  807.       INTEGRITY MASTER 1.12 easily followed companion infections on
  808.       our machine and notified the user with a warning screen which
  809.       gave proper advice for removal.
  810.  
  811.       The Crypt Newsletter reader gets a lesson in simple virus
  812.       design with the INSUFF programs. Spawning sneaks through a big
  813.       back door in CPAV, the MtE polymorphic encryption targets
  814.       many scanners directly.
  815.  
  816.       The INSUFF viruses still remain quite simple. The source code
  817.       supplied will only give you a virus which searches the
  818.       current directory. INSUFF1, then, illustrates the principle
  819.       but will hardly get very far - probably not beyond a primary
  820.       infection (although I never underestimate viruses). It is not even 
  821.       particularly dangerous since it doesn't touch your files and is 
  822.       easily  removed by deletion.  INSUFF2 is a little more interesting, 
  823.       for the reader impatient with INSUFF1. INSUFF2 will drop the NOIZ
  824.       Trojan onto .EXE's in the current directory anytime after 4:00 pm.
  825.       If INSUFF has already created 'companions' for these files,
  826.       the user may see nothing initially.  The NOIZ Trojan does not
  827.       scan. However, when INSUFF2 is removed or eliminated as a 'companion'
  828.       for the altered .EXE, the NOIZ Trojan will be unmasked. Calling the
  829.       .EXE will install NOIZ in RAM where it takes up about 8k and
  830.       compells the PC to make frequent, strange farting noises until
  831.       the machine is rebooted. NOIZ will not install itself more than
  832.       once in RAM, it is a semi-intelligent 'zombie.' Of course,
  833.       it goes without saying that files altered by the NOIZ Trojan
  834.       are permanently ruined and must be restored from back-up.
  835.       The NOIZ trojan hooks a hardware interrupt when it becomes
  836.       resident. We leave it to the reader as an insignificant academic
  837.       exercise to find interrupt.
  838.       
  839.       Since INSUFF1 and INSUFF2 are 'direct-action' infectors of
  840.       their current directory, they are FAST. If called on a system
  841.       they will search and write to the drive in less than a fraction
  842.       of a second. In most case, the drive light flicker will be
  843.       analogous to what is seen when an "Unknown command or file name"
  844.       error is produced.  So, when a 'spawn-infected' program misfires
  845.       because the virus is doing its business, it's quite possible the
  846.       mystified user will repeat the command once or twice before
  847.       giving up, putting the viruses well into the directory. [This 
  848.       is exactly the worst thing to do.] If called from a different 
  849.       directory in the path, INSUFF can get out of hand.  Keep in mind 
  850.       that if INSUFF2 is on a system and called after 4 in the 
  851.       afternoon many executables may silently suffer 'zombie-fication.' 
  852.       This is frustratingly destructive and difficult to overlook.
  853.  
  854.       The newsletter also contains the DEBUG script for INSUFF3.  INSUFF3
  855.       will jump out of the current directory once it has infected all
  856.       files in it.  This simple directory span increases its potential
  857.       for fast spread considerably.  INSUFF3, like INSUFF2, will
  858.       trojanize selected .EXE files with the NOIZ 'zombie' in the directory 
  859.       it is called from anytime after 4:00 pm.
  860.  
  861.       [If the reader needs the source code for INSUFF2 and INSUFF3, both
  862.       can be obtained, no-questions-asked, from the DARK COFFIN BBS,
  863.       listed at the end of this document. Codes are located in 
  864.       the Crypt Newsletter directory in the Files section of the BBS.]
  865.  
  866.       Next issue: The poor man's guide to making multi-partite viruses.
  867.       Maybe. (I tend to change my mind a lot.)
  868. *****************************************************************************
  869.  
  870.  
  871.    KRYPT KONSUMER KORNER (Guide to Term addendum):
  872.  
  873.    ZCOMM (Omen Technology) v. HyperACCESS/5 (Hilgraeve) --
  874.  
  875.    ZCOMM, the shareware subset of Chuck Forsberg's Pro-YAM comm tool
  876.    ain't for everyone. It doesn't beep and boop, it's got no menus
  877.    to speak of; it is spare, spare, spare in 'looks.'
  878.  
  879.    But you, the assertive, manly Crypt newsletter reader don't crave 
  880.    'looks' now, do you? You want performance - raw, uncompromised power! 
  881.    ZCOMM has it in spades.
  882.  
  883.    Enter ZCOMM in DOS. Up comes a command prompt. Type
  884.    'call koolwarez' and if you've had the wit to add the number of the
  885.    KOOLWAREZ BBS to ZCOMM's master script, PHOMAST.T, with a simple
  886.    ASCI editor, you're gone. (ZCOMM comes with a public domain editor, 
  887.    CSE, very similar in function to Semware's QEdit. CSE is from the
  888.    Colorado School of Mines. You know they must have real men there!)
  889.  
  890.    For transfers, Forsberg gives you X/Y/ZModems in all their flavors,
  891.    KERMIT, Clink, Telink, MODEM7 and WXModem.  If that's not good enough,
  892.    time to flee to Mars. As for performance, none of the ZModem 
  893.    implementations in the packages reviewed last issue (PCPlus 2.01,
  894.    Telemate, QModem 5.0, COM-AND 2.8) approached that of ZCOMM.  
  895.    
  896.    And if you're spying on someone's BBS or just remembered that you want
  897.    to save something that scrolled by 5 minutes ago, ZCOMM
  898.    will save your butt. Toggle its capture file and ZCOMM will write
  899.    everything to disk from its ridiculously oversized 
  900.    scrollback buffer. Scrutinize a hex/ASCI dump of that raw virus
  901.    you just downloaded with ZCOMM's display command! ZCOMM will  
  902.    remove noxious ESC sequences from screen captures polluted by the
  903.    work of brain-damaged FelonyNet ANSI-artists, too, thus saving you
  904.    and your printer much grief. Forget these features with ANY 
  905.    OTHER PACKAGE!
  906.  
  907.    In truth, though, many will not feel up to the ZCOMM/Pro-YAM challenge.
  908.    These users will be easily befuddled by ZCOMM's UNIX-like instruction 
  909.    set and look. They will be bullied into submission by ZCOMM's stark 
  910.    command line and nettled at the prospect of doing all configuration 
  911.    from the master script with nothing but a text editor and a meager amount
  912.    of cerebrum as safety nets.  
  913.    
  914.    They will crash and curse ZCOMM's author savagely when 
  915.    attempting as simple a task as logging on to a "local" pd BBS.  
  916.    (Of course, The Crypt Newsletter reader is no such craven swine.)
  917.  
  918.    But such is the ZCOMM/Pro-YAM price of excellence.
  919.  
  920.    
  921.    Another program vieing for dominance with ZCOMM/Pro-YAM in the 
  922.    brute power category is Hilgraeve's HyperACCESS/5 3.0. It is of 
  923.    interest here at the Crypt because it's the first instance of a 
  924.    comm program which incorporates virus scanning in its file 
  925.    transfer suite.
  926.  
  927.    That said, we did an off the cuff evaluation of HyperACCESS's anti-
  928.    virus ability. The program will unpack .ZIPfiles on the fly and
  929.    scan executables archived within them or scan your system
  930.    as a stand-alone. A quick test revealed HyperACCESS could detect
  931.    common viruses; in fact, it was rather efficient at picking up STONED
  932.    'droppers', JERUSALEM strains, numerous wearisome BURGER perversions
  933.    and even the odd image file of a TELEFONICA boot infector.  On the
  934.    other hand, the scanner was sacked repeatedly the common
  935.    MtE viruses as well as all Crypt newsletter formulations. It did not
  936.    detect MALTESE AMOEBA, STARSHIP, COMMANDER BOMBER, SUOMI (eh?) or any 
  937.    VCL or PS-MPC creations or derivatives.  Our consumer advice: you won't
  938.    be buying HyperACCESS as an a-v scanner anytime soon.  
  939.  
  940.    This simple a-v utility does suggest itself for one virus-hunting use.
  941.    It might be a nice exercise to enable HyperACCESS's 'unzip-on-the-
  942.    fly' option when downloading new virus samples from boards you suspect
  943.    of having nothing but BURGER, VIENNA and AMSTRAD hacks.  HyperACCESS
  944.    can flag such archives as they arrive on your end, name the virus,
  945.    and log the results to a file for later browsing. Then you have a 
  946.    nice report verifying the 'quality' of the audited Vx BBS.
  947.  
  948.    But even if we overlook its a-v features, HyperACCESS offers many handy 
  949.    utilities thought to be almost exclusively the domain of ZCOMM.
  950.    It's got a fast, efficient file manager and its DOS gateway is
  951.    supremely efficient. The capture buffer is generous and looks deep
  952.    into the scrollback if you ask nice. HyperACCESS includes
  953.    an extravagant text editor every bit the equal of QEdit with
  954.    only a rather crippled spell-checker to mar the picture. (The
  955.    first time I used it on the Crypt newsletter it crashed when 
  956.    confronted by all the 50-buck words.)
  957.  
  958.    In contrast to ZCOMM, HyperACCESS has been designed with an eye
  959.    to luring away the average ProComm cripple from his favorite
  960.    software.  It will convert PCPlus 2.01 .FON directories for its
  961.    own use although its documentation sneers at the 'look and feel' of 
  962.    the Datastorm product. HyperACCESS/5 can also be used by point-and-shoot
  963.    premature ejaculators and has slippery-looking sliding menus and
  964.    terminal screens which even I enjoyed in a corrupt sort of way.
  965.    
  966.    But Hilgraeve knows its limitations, too. While its ZModem
  967.    implementation is adequate, HA/5 includes two macros for utilizing
  968.    Omen's DSZ program as an instant drop-in. No figuring out stupid
  969.    external batch files, hey, hey! On my disk, it's a toss-up between
  970.    HyperACCESS/5 and ZCOMM/Pro-YAM.
  971.                            ---------------------
  972.    
  973.    ZCOMM 17.96 is $45 cash money shareware from Omen Technology. That's
  974.    good for a diskette containing the ZCOMM programs and a daunting
  975.    manual written in a style opaque to anyone even close to being a 
  976.    lip-reader.  The unregistered ZCOMM is downloadable from just about 
  977.    everywhere, but I found it in the COMM Programs software library 
  978.    in CSERVE's IBMCOMM special interest group. (Type 'Go: IBMCOMM'). 
  979.  
  980.    Hilgraeve's HyperACCESS/5 v. 3.0 is retail only, for a short time
  981.    available at $49.95, not including shipping and handling. 
  982.    You can reach Hilgraeve at: 1-800-826-2760. 
  983. *****************************************************************************
  984.  
  985.  
  986.                       -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
  987.  
  988.  
  989.    THE READING ROOM: BOOKS OF INTEREST TO THE VIRUS COMMUNITY
  990.  
  991.    "Artificial Life" by Steven Levy (Pantheon)
  992.  
  993.    "Computer viruses, then, stand on the cusp of life - and soon will
  994.    cross over." - Steven Levy in "AL"
  995.  
  996.    And here in Central Schnookville, PA, gravity drops to zero come noon
  997.    and all the corporate stiffs lunching on the village common float
  998.    through the air plucking startled birds out of the sky with their bare
  999.    hands.
  1000.  
  1001.    A good portion of "Artifical Life" has Levy expounding that computer
  1002.    viruses fill what is known as the "strong claim" toward artificial life.
  1003.    It is the very essence of neo-intellectual flatus - the kind of prose
  1004.    that makes the ocassional reading of Scientific American such an
  1005.    unpleasant experience.
  1006.  
  1007.    Levy comes up with interesting descriptive jargon for viruses, too.
  1008.    "Add-on" which I suppose means "appending"; "shell" for God knows
  1009.    what.  The "diabolical" Brain virus comes in for special attention; 
  1010.    it hides a portion of itself in clusters marked "BAD," "a cluster
  1011.    stretches over 2 sectors of a 9 sector disk," writes Levy. (Hmmmm.
  1012.    Doesn't leave too much room for anything else, does it?) 
  1013.  
  1014.    Plenty of minor stupid technical errors of this nature pepper Levy's
  1015.    book. Of course, they've flown by any number of dumbbell editors
  1016.    in the publishing business and they'll repeat the job on almost
  1017.    anyone who reads this book. But don't think that because no one
  1018.    will know, somehow it's right. It's not and, unfortuately, its
  1019.    typical of the modern 'science' journalist who thinks that simply
  1020.    by interviewing experts like Fred Cohen for three hours, he can 
  1021.    magically obtain understanding. 
  1022.    
  1023.    The skeptical Crypt newsletter reader will find "Artificial Life" is
  1024.    total crap. However, he may be amused by quotes like:
  1025.    
  1026.      "Machines, being a form of life, are in competition with 
  1027.      carbon-based life. Machines will make carbon-based life extinct."
  1028.      (page 336)
  1029.  
  1030.      or
  1031.  
  1032.      "A rock would certainly be low on any continuum of aliveness . . ."
  1033.      (page 6).
  1034.  
  1035.      or
  1036.  
  1037.      "Steven Levy needs help finding his ass with both hands." (Oops,
  1038.      how'd that get in here???)
  1039.  
  1040.    Levy's previous work includes "Hackers," but "AL" WILL only be enjoyed
  1041.    by those who like the concept of "edu-tainment" or think that a
  1042.    library full of comic books, cyberpunk novels and cuttings from
  1043.    OMNI magazine constitute a national resource.
  1044.  
  1045.    The Crypt Newsletter gives "Artificial Life" a solid thumbs down!
  1046.  
  1047.  
  1048.    "ACCIDENTAL EMPIRES" by Robert X. Cringely (Addison-Wesley paperback)
  1049.  
  1050.    After wincing your way through "AL" you may want to head out to the 
  1051.    local mall and pop for Cringely's worldview/thumbnail history of American
  1052.    computerland, now in paperback.  Guaranteed, you'll be on the floor
  1053.    inside the first six pages when you read "Hate group number three . . .
  1054.    will just hate [this] book because somewhere I write that object-
  1055.    oriented programming was invented in Norway in 1967, when they
  1056.    know it was invented in BERGEN, Norway, on a rainy afternoon
  1057.    in late 1966. I never have been able to please these folks, who are
  1058.    mainly programmers and engineers, but I take some consolation in
  1059.    knowing that there are only a couple hundred thousand of them."
  1060.  
  1061.    Recognize the type? Yup, Robert, we see 'em every day here at the
  1062.    newsletter, too. Fuck 'em.
  1063.  
  1064.    The shrewd Crypt newsletter reader will guess that we give
  1065.    "Accidental Empires" a solid thumbs up!
  1066.  
  1067.  
  1068.    ***********************************************************************
  1069.    ***********************************************************************
  1070.  
  1071.    Crypt Newsletter Software: Additional documentation, lamentation and
  1072.    user notes for the terminally stupid. Why? Because we care!
  1073.  
  1074.    DIOGENES virus:  Enclosed in this archive is a DEBUG script of DIOGENES
  1075.    virus. Created by Seeker, DIOGENES is a second generation VCL 1.0
  1076.    derived, appending .COM infector. DIOGENES is encrypted and will do its
  1077.    virus thing until the 31st of any month. On that day, it will spoil 
  1078.    the data and valuable programming on your hard drive in a quick, 
  1079.    professional manner.
  1080.  
  1081.    DIOGENES is not scanned by the current editions of F-PROT (2.05),
  1082.    VIREX-PC, SCAN, CPAV, AVSCAN, NORTON ANTIVIRUS, INTEGRITY MASTER 
  1083.    and tbSCAN. F-PROT 2.05 will flag it as being 'self-modifying' 
  1084.    in heuristic mode, definitely a 'weak' warning.  
  1085.  
  1086.    User documentation for DIOGENES is listed in DIOGENES.DOC; source 
  1087.    code for the virus is archived on the DARK COFFIN BBS.
  1088.  
  1089.    To produce the software in the Crypt Newsletter, ensure that the DOS
  1090.    program, DEBUG, is in your path. At the C: prompt, type
  1091.  
  1092.              DEBUG <*.scr,
  1093.  
  1094.    where *.scr is the name of the .scr file of interest included with the
  1095.    newsletter. DEBUG will assemble the program from which the script
  1096.    is derived and write it to disk in the current directory.
  1097.  
  1098.    Also included as DEBUG scripts are the INSUFF viruses. INSUFF1's
  1099.    source listing, INSUFF.ASM, accompanies the archive but it
  1100.    cannot be assembled directly without possession of the MtE091b
  1101.    OBJECT files. We assume the average Crypt newsletter reader interested
  1102.    in the code will have a general idea on how to come by the MtE
  1103.    archive if he doesn't possess it already.
  1104.  
  1105.    In our continuing series of public domain and 'porn' trojan programs
  1106.    is the DEBUG script for COMPUFON, a pop-up auto-dialer and corporate
  1107.    phonebook complete with the usual utterly convincing yet COMPLETELY
  1108.    BOGUS documentation.  COMPUFON is an assembly coded comms utility that
  1109.    will store a phone directory for you and will dial the phone. It
  1110.    will also smash the C; drive just before it dials your selected
  1111.    number.  It is instructive because it demonstrates an easy source
  1112.    of trojan code: utility listings published and placed into public
  1113.    circulation by organizations like BYTE, PC MAGAZINE or Ziff-Davis.
  1114.    COMPUFON can be recognized as a hacked version of PC-DIAL.
  1115.  
  1116.    ***********************************************************************
  1117.    ***********************************************************************
  1118.  
  1119.    END NOTES:  This issue's acknowledgements go to Seeker for tossing
  1120.    DIOGENES virus our way with nice attention to deadline.  And I
  1121.    can't forget Nowhere Man who patiently answered some stupid
  1122.    questions on spawning viruses and MtE encryption. 
  1123.    
  1124.    This issue of the Crypt newsletter should come in the archive
  1125.    CRPTLET6.ZIP. And the archive should contain:
  1126.  
  1127.                   CRPTLET.TR6 - this electronic document
  1128.                   INSUFF.ASM - TASM 2.5 source code for the basic
  1129.                                INSUFF MEMORY viruses.
  1130.                   INSUFF.SCR - DEBUG script for INSUFF virus
  1131.                   INSUFF2.SCR - DEBUG script for INSUFF2 virus
  1132.                   INSUFF3.SCR - DEBUG script for INSUFF3 virus
  1133.                   DIOGENES.SCR - DEBUG script for DIOGENES virus, a
  1134.                                  third generation VCL 1.0 designed program
  1135.                   DIOGENES.DOC - additional notes for DIOGENES virus
  1136.                   CMPUFON.SCR - DEBUG script for the COMPUFON trojan
  1137.                   CMPUFON.DOC - BOGUS documentation for COMPUFON
  1138.                   WARNING.TXT - additional documentation for COMPUFON
  1139.                   MAKE.BAT - .BAT file to assist in generation of INSUFF
  1140.                              viruses
  1141.  
  1142.    If any of these files are missing demand upgrade at any of the BBS's
  1143.    listed in the tail of this file.
  1144.  
  1145.    In addition, you should realize that the programming examples in the
  1146.    Crypt newsletter are quite capable of folding, spindling and mutilating
  1147.    the valuables on your machine. Handle them stupidly or irresponsibly,
  1148.    and that's just what they'll do.
  1149.  
  1150.    Readers should feel free to send e-mail to editor URNST KOUCH 
  1151.    on any of the BBS's listed in this file. On Hell Pit, I can be
  1152.    reached as COUCH.
  1153.  
  1154.    To ensure you don't miss an issue of the newsletter, I invite you
  1155.    to come to DARK COFFIN and e-mail me with a data number of your
  1156.    favorite BBS. I'll include it in my database and begin delivery if
  1157.    they'll have it. This guarantees you'll be the first on your block
  1158.    to get fresh issues.
  1159.  
  1160.    The Crypt newsletter is distributed first at the following sites:
  1161.  
  1162.  
  1163.  
  1164.      ╔════════════════════════════════════════════════════════════════════╗
  1165.      ║ This V/T info phile brought to you by Çτÿ₧,                        ║
  1166.      ║ Makers/Archivists/Info Specialists on Viruses/Trojans.             ║
  1167.      ╠════════════════════════════════════════════════════════════════════╣
  1168.      ║ Dark Coffin ···················· HQ/Main Support ··· 215.966.3576  ║
  1169.      ╟────────────────────────────────────────────────────────────────────╢
  1170.      ║ VIRUS_MAN ······················ Member Support ···· ITS.PRI.VATE  ║
  1171.      ║ Callahan's Crosstime Saloon ···· Southwest HQ ······ 314.939.4113  ║
  1172.      ║ Nuclear Winter ················· Member Board ······ 215.882.9122  ║
  1173.      ╚════════════════════════════════════════════════════════════════════╝
  1174.  
  1175.