home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / 263.CRPTLET.TR9 < prev    next >
Text File  |  1992-11-11  |  33KB  |  746 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.       
  8.       
  9.       ▄▄▄ ▄▄▄▄▄▄▄▄   ▄▄▄ ▄▄▄▄▄▄    ▄▄       ▄▄   ▄▄▄ ▄▄▄▄▄    ▄▄▄▄▄▄▄ ▄▄▄▄▄
  10.      █▒▒█ █▒▒▒▒▒▒▒█ █▒▒█ █▒▒▒▒▒█  █▒▒█     █▒▒█ █▒▒█ █▒▒▒▒█  █▒▒▒▒▒▒█ █▒▒▒▒█
  11.      █▒▒█ ▀▀▀▀▀▀▀▀  █▒▒█ ▀▀▀▀█▒▒█  █▒▒█   █▒▒█  █▒▒█ ▀▀▀█▒▒█  ▀▀▀█▒▒█ ▀▀▀▀▀
  12.      █▒▒█           █▒▒█ ▄▄▄▄█▒▒█   █▒▒█ █▒▒█   █▒▒█ ▄▄▄█▒▒█     █▒▒█
  13.      █▒▒█           █▒▒█ █▒▒▒▒▒█     ▀▀ █▒▒█    █▒▒█ █▒▒▒▒█      █▒▒█
  14.      █▒▒█           █▒▒█ ▀▀▀▀█▒▒█      █▒▒█     █▒▒█ ▀▀▀▀▀       █▒▒█
  15.      █▒▒█ ▄▄▄▄▄▄▄▄  █▒▒█      █▒▒█     █▒▒█     █▒▒█             █▒▒█
  16.      █▒▒█ █▒▒▒▒▒▒▒█ █▒▒█       █▒▒█    █▒▒█     █▒▒█             █▒▒█
  17.       ▀▀▀ ▀▀▀▀▀▀▀▀   ▀▀▀        ▀▀      ▀▀       ▀▀▀              ▀▀
  18.       
  19.                               NEWSLETTER NUMBER 9
  20.       **********************************************************************
  21.       Another festive, info-glutted, tongue-in-cheek training manual
  22.       provided solely for the entertainment of the virus programmer,
  23.       casual bystander or PC hobbyist interested in the particulars
  24.       of cybernetic data replication and/or destruction.
  25.                      EDITED BY URNST KOUCH, November 1992
  26.       **********************************************************************
  27.  
  28.       TOP QUOTE: "Concrete shoes! Neckties! Cyanide! Done dirt cheap!!"
  29.                            --AC/DC from "Dirty Deeds Done Dirt Cheap" on 
  30.                            "Live 1992" late October, 1992
  31.  
  32.       IN THIS ISSUE:  News-news-news . . . Solomon's Anti-virus Toolkit
  33.       scrutinized for user happiness quotient . . . ACME virus and URNST's
  34.       continuing fetish with companion infections . . . RAUBKOPY virus:
  35.       a German anti-piracy product . . . intro to the first annual Crypt
  36.       letter virus\antivirus\virus software awards . . . In the READING
  37.       ROOM . . . stupid humor & lots more . . .
  38.  
  39.                                     -*-
  40.  
  41.       TOP O' THE NEWS: WEENIES STRIKE AGAIN - the PROTO-T hoax. Once
  42.       again, the chief dupes were FidoNet and WWIVnet users. The story 
  43.       goes like this: anonymous electronic stooge posts e-mail message 
  44.       from noble 'underground elite' sysops in the S.F. Bay Area who
  45.       see their systems decimated by a magical, virulent program 
  46.       which 'hides' in COM port 1, etc., etc. Noble sysops band together
  47.       to spread word to "straight" world, with the exception of the 
  48.       Software Publishers Association. Eegah!
  49.       
  50.       Contagion spreads like wild fire. Call US NEWS & WORLD REPORT! We 
  51.       reprint the original PROTO-T warning (spelling errors and all) for 
  52.       your enjoyment and add that one of the viruses included in this 
  53.       issue has been named PROTO-T, in honor of the quacks who started the 
  54.       rumor.
  55.  
  56.       Transcript:
  57.      *********************************************************************
  58.      This is an exact copy of a "Broadcast" letter sent to all members and
  59.      affiliates of THIEVCO INC; a group located somewhere in the San 
  60.      Francisco Bay Area. While I do not support the general theology of 
  61.      Thievco Inc, I must applaud thier actions. Thier warnings about a new 
  62.  
  63.                                      Page 1
  64.  
  65.  
  66.  
  67.  
  68.      virus called PROTO-T, will potentially save us computer users possibly 
  69.      thousands of dollars - and hundreds of man hours.
  70.      
  71.      Here is a copy of the broadcast letter, as received from a friend
  72.      at Thievco ...
  73.  
  74.           <<*>>     <<*>>     <<*>>     <<*>>     <<*>>     <<*>>     
  75.  
  76.      Retrieved BLUWAV 6921 / THIEV 00621*420 - Node 1:8 Sent T-Tymnet
  77.  
  78.      Date    : 9/24/92 11:14pm
  79.      To      : All Thievco Members, and affil.
  80.      Re      : PROTO - T
  81.      Class   : Confidential (go public 9-26)
  82.  
  83.  
  84.      Dear Members,
  85.  
  86.      At 7:34PM (pst) our attempt to isolate and contain the PROTO - T
  87.     virus failed. As we have discovered, PROTO - T has a *VERY* unique
  88.     feature, to hide in the RAM of VGA cards, hard disks, and possibly,
  89.     in modem buffers. Unfortunaly, we found out the hard way - after it 
  90.     struck.
  91.      
  92.     At this time, there is no known defence against this virus, save 
  93.     formatting your hard/floppy disks - there isn't even a method of 
  94.     detecting it yet...untill its too late. [ PROTO - T specs listed 
  95.     later ].
  96.      
  97.     Unearthly Vision ( Portland, Oregon ), and Chron ( Alameda, Calif )
  98.     were working on isolating the virus when it struck. Over 900 megabytes
  99.     of information was lost, of that about 214 megabytes is probably 
  100.     recoverable.
  101.  
  102.     Action :
  103.  
  104.     Please assist us in implementing this plan, to warn the general public.
  105.     Our first priority is our fellow THIEVCO members. Please distribute this
  106.     letter to all contacts inside the U.S., upon recipt of this letter.
  107.     Please inform the public on 9-26-92. Start warning the elite boards 
  108.     first, followed by the P.D. boards. Dont bother telling known SPA 
  109.     locals, they aren't worth our time.
  110.  
  111.      Blue Boar - Distribute the warning in Southern California, start
  112.      with L.A. first.
  113.      
  114.      Chron     - Distribute to San Francisco, Sacramento, and south east
  115.      coast.
  116.  
  117.      Garfield  - Distribute to Fido-Net, Vet-Net, Compuserve, and America
  118.                  Online.
  119.  
  120.      Unearthly Vision - Distribute to Oregon, and Washington.
  121.  
  122.      Executioner   - Distribute to San Jose, Monterey.
  123.  
  124.  
  125.                                      Page 2
  126.  
  127.  
  128.  
  129.  
  130.  
  131.     =--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=--=
  132.  
  133.     What is known:
  134.  
  135.    Proto - T was just a rumor, untill it was confirmed a few weeks ago.
  136.    Chron, being the most incredible skip-tracer, traced its origins to a
  137.    college campus in California. There, it was placed into two files.
  138.    The first, is a file called "TEMPLE" - which to our knowledge, has no
  139.    legitimate use; it seems to be a dummy file. The other file, was
  140.    placed in an unathorized version of PKZip by PKWare ( versions 3.0, 
  141.    and 3.1 - these are not legitimate versions of PKZip! Quite possibly, 
  142.    these versions of PKZip were created, for the reason of distributing 
  143.    PROTO - T ).
  144.  
  145.    Proto - T is very elusive. There is no program known to detect it.
  146.    From what we understand, it will only infect your system if certian
  147.    conditions are met. From what we know, it will infect your system only if
  148.    you run TEMPLE, or PKZip 3.x after 6:00pm. Even doing that wont nessaraly
  149.    cause infection - it took 6 days for Chron and Unearthly Vision to 
  150.    become infected. Obviously some other criteria must be met.
  151.     
  152.    Upon infection, the virus is written (as un-attached file chains), On 
  153.    two parts of a hard disk - each capable of running independently without 
  154.    the other half.
  155.     
  156.    After infection, the virus seems to be written into the memory or memory
  157.    routines of a VGA or EGA monitor; or is written into the memory of the 
  158.    hard drive, or quite possibly, into a modem - or COM port. Thus excaping 
  159.    most or any known detection methods.
  160.  
  161.     PROTO - T :
  162.  
  163.     Proto - T when activated, corrupts data on a disk, stops VGA or EGA
  164.     from being used ( Thus either defaulting to CGA, or locking up ), and
  165.     prohibits memory from being used over 512K.
  166.  
  167.     Known to be put into two files : TEMPLE.EXE ( 14,771 Bytes ) and PKZip 
  168.     3.x  (Varries always over 100,000 bytes when zipped). If you see these 
  169.     files - do not get or use them.
  170.  
  171.     Give this letter to all Thievco members and thier contacts, followed by
  172.     other boards.
  173.  
  174.     With luck, we can stop the damage before it *REALLY* starts.
  175.  
  176.                                           THIEVCO INC, San Francisco Bay
  177.                                           Area.
  178.  
  179.  
  180.     Special Thanks for Chron, Unearthly Vision, and Blue Boar for all thier
  181.     help with this "Early warning" and tech help.
  182.  
  183.  
  184.                              Bill [A NOBLE CYBER-CITIZEN. -URNST]
  185.      *******************************************************************
  186.  
  187.                                      Page 3
  188.  
  189.  
  190.  
  191.  
  192.      Crypt newsletter recommendations: Send a copy of the transcript and
  193.      PROTO-T to Pam Kane of Panda Systems. According to a recent COMPUSERVE 
  194.      magazine story on viruses, Kane is working on a hi-tech novel with
  195.      a virus villain. PROTO-T could be ripe for even more embellishment
  196.      in a good novella. And there's no worry about royalties, either!
  197.  
  198.      Boy, I love reading this stuff! It's cut from the same bolt of cloth
  199.      that supplies the endless numbers of computer chowderheads ready 
  200.      willing and able to argue that a trojan or virus can blow up your 
  201.      monitor. And here's more:
  202.  
  203.      *******************************************************************
  204.      Proto-T is NOT a hoax... and from what I've heard through the grape 
  205.      vien [VIEN? Is that in Austria?] is just about as nasty as they get.
  206.  
  207.      The problem with detecting it is that no one's really sure where it 
  208.      goes...com ports, video memory, you name it, and it might have 
  209.      accessed it...
  210.  
  211.      From all the information I've seen off internet proto-t ussually 
  212.      strikes after 6:00pm, but is not totally dependant upon the time alone.  
  213.      I believe it was a lab in Austin Texas that was doing the most 
  214.      heaviest work on it, although I can't be 100(null)ure that it was Austin.. 
  215.      but at any rate Proto-T is legit, and from all I've been reading 
  216.      probably one of the most intense virii written to date.. no one seems 
  217.      to be able to lock it down as from all obersvation it writes to two 
  218.      seperate sections of the hard disk and neither rely on one or the other 
  219.      to activate.. and it *might* have reproductive
  220.      powers to boot (ie you destroy one of the writes, the other kicks 
  221.      in and rebuilds it..).
  222.  
  223.      I don't like the looks of this one, not at all..
  224.  
  225.      Devin Davidson  [ANOTHER NOBLE CYBER-CITIZEN. -URNST]
  226.      
  227.      **********************************************************************
  228.      PATRICIA HOFFMAN, VSUM AUTHOR, QUITS AT 4:00pm
  229.      **********************************************************************
  230.  
  231.       I snagged the next entry describing the MtE Spawn (real name: INSUFF3)
  232.       off the FidoNet. Someone had posted it from Patricia Hoffman's
  233.       VSUM in response to a question on Mutation Engine viruses. The
  234.       Crypt reader will recognize MtE Spawn as one of the INSUFF viruses
  235.       from a previous newsletter.
  236.  
  237.       MTE Spawn: Received in September, 1992, MTE Spawn is a non-
  238.             resident spawning or companion virus which uses the Dark
  239.             Avenger Mutating Engine for its encryption.  When an infected
  240.             program is executed, this virus will infect one .EXE file
  241.             in the current directory, creating a 6,666 to 6,746 byte
  242.             .COM file with the same base file name.  This companion file
  243.             will have the read-only, system, and hidden attributes set,
  244.             and its date and time will be the system date and time when
  245.             infection occurred.  The original .EXE file will not be
  246.             altered.  Execution of an MTE Spawn virus infected program
  247.             will result in a system hang after five .EXE files in the
  248.  
  249.                                      Page 4
  250.  
  251.  
  252.  
  253.  
  254.             current directory have become infected.  Additionally,
  255.             the companion files will not be executed under some versions
  256.             of DOS due to a minor bug in this virus.  To disinfect an
  257.             infection of MTE Spawn, simply delete the hidden companion
  258.             files.
  259.           Origin:  Unknown  September, 1992. [Crypt newsletter 6, actually.]
  260.  
  261.  
  262.       Note the size reported by Hoffman: 6,666 bytes. Pretty big for a
  263.       non-resident companion virus! Must be written in PASCAL, or 
  264.       somethin'. Nope. Actually, the reader may remember this 
  265.       particular virus carries a 4,000 byte payload: the NOIZ 
  266.       trojan. The NOIZ program is dropped onto .EXE's in the current
  267.       directory anytime MtE Spawn is executed after 4:00 in the
  268.       afternoon. NOIZ is a joke program which installs itself in memory
  269.       and, obviously, makes noise. And it irreversibly soils any program 
  270.       it lands on. This makes NOIZ difficult to ignore. So, Patricia 
  271.       Hoffman either worked on MtE Spawn in the morning or went home 
  272.       by 4:00 pm the day she examined it. Oh wow.
  273.  
  274.       ******************************************************************
  275.       CENTRAL POINT SOFTWARE VOWS "ALL PC's VIRUS FREE BY '93!" IN
  276.       MARKETING NEW CP ANTIVIRUS FREEWARE SCANNER. OH WOW.
  277.       ******************************************************************
  278.  
  279.       Central Point Software follows SYMANTEC into the retail program
  280.       offered as bait freeware by making the scanner engine in its
  281.       latest edition available as a no-strings downloadable file on
  282.       COMPUSERVE and AMERICA-ON-LINE.
  283.  
  284.       The scanner, packaged as the archive CPAVSO.ZIP, SO standing for
  285.       "scanner only," is cosmetically very similar to SYMANTEC's 
  286.       freeware NAVSCAN issued a month ago.
  287.  
  288.       The SO version of CPAV's scanner engine claims to detect all 
  289.       Mutation Engine viruses and Virus Creation Laboratory variants.
  290.       At the Crypt editorial offices it failed to detect the MtE-
  291.       equipped INSUFF viruses, noted in the latest edition of Patricia
  292.       Hoffman's VSUM as MtE Spawn.  It also hiccuped when running against
  293.       any but the most basic Virus Creation Laboratory code samples.
  294.  
  295.       CPAVSO continues the weird Central Point Software method of 
  296.       counting a virus which infects both .COMfiles and .EXEfiles
  297.       as two strains, thereby inflating its detection claims.
  298.  
  299.       However, as a brute force scanner, the SO edition is worth precisely 
  300.       what you pay for it. 
  301.       
  302.       *****************************************************************
  303.       URNST TAKES THE PRODIGY CHALLENGE AND ORDER's DR. SOLOMON's
  304.       ANTIVIRUS TOOLKIT THROUGH ONTRACK SYSTEMS:  A QUALITY REPORT
  305.       *****************************************************************
  306.  
  307.       The Sears Roebuck administered "personal information service"
  308.       for yuppies, Prodigy, recently hyped an antivirus software offer
  309.       which, on the surface, appeared quite attractive. It offered
  310.  
  311.                                      Page 5
  312.  
  313.  
  314.  
  315.  
  316.       a special data integrity package armed with the Solomon Toolkit's 
  317.       FindVirus utility, an "unerase" program designed to allow
  318.       buyers to easily recover recently scotched files and a rudimentary
  319.       set of hard disk maintenance utilities. Not a bad deal for
  320.       $34 cash money until you consider that anyone running DOS 5.0,
  321.       NORTON UTILITIES or any equivalent already has the hard file
  322.       maintenance programs, reducing the Prodigy package to a $34
  323.       brute-force scanner. Nah, pass.
  324.  
  325.       However, Prodigy did offer the complete Solomon Toolkit for 
  326.       $39. The catch was it came sans manual. Of course, you could  
  327.       also buy the manual, thereby bringing the total price up to
  328.       $99, just about what you would pay for the Toolkit anywhere.
  329.  
  330.       Hah! But Prodigy hadn't counted on a Crypt newsletter editor
  331.       as a buyer. We don't need no stinking manuals!
  332.  
  333.       And so we evaluated the Toolkit just for you, the Crypt reader!
  334.  
  335.       The Toolkit is easy to install. You can either use the dumb
  336.       install program or copy the files manually into a TOOLKIT
  337.       directory on the hard file of choice.  All Toolkit programs are
  338.       command line driven, but most will want to use the Toolkit
  339.       menu. The menu is perfunctory but clear.
  340.  
  341.       The Toolkit sans manual offers little advice, although there
  342.       is plenty of embedded help to aid in understanding possible
  343.       functions.
  344.  
  345.       The heart of the Toolkit is its two integrity checkers: Quick
  346.       Check Virus and CheckVirus. CheckVirus provides more complete
  347.       integrity data on executables and, therefore, according to
  348.       Solomon, is more sensitive than Quick Check Virus.  It is
  349.       supposedly armored against advanced stealth viruses although
  350.       we didn't bother to test this.  CheckVirus WAS slapped around
  351.       by the Crypt companion viruses VOTE and ACME (included in this
  352.       issue.) Like most current products, it failed to note the 
  353.       significance of added files duplicates. Nay, it completely
  354.       missed them. This was startling, since the Toolkit virus list
  355.       claims it recognizes companion infections as special cases.
  356.       Presumably, we take this to mean only SCANNED companion infections 
  357.       can be detected by the Toolkit's FindVirus program.
  358.  
  359.       The Toolkit also sports a memory integrity utility called CheckMem.
  360.       It failed to notice VOTE - a resident comapnion virus - in memory
  361.       although it complained incessantly about only 639k of apparent RAM
  362.       on the test machine even when no viruses were being tested.
  363.       
  364.       However, this is unlikely to matter to the average user. The
  365.       CheckMem utility does not present its information in any way that
  366.       the average Prodigy subscriber would understand. Don't believe
  367.       me? Start checking the Prodigy Computer Club help forums and you'll
  368.       see what I mean.
  369.  
  370.       The Toolkit's Quick Check Virus and CheckVirus programs easily
  371.       detected changes made to files by the PROTO-T virus (in this
  372.  
  373.                                      Page 6
  374.  
  375.  
  376.  
  377.  
  378.       newsletter). Since PROTO-T has no stealth properties and changes
  379.       in infected file size are fairly obvious, this was an easy hit for
  380.       the Toolkit.
  381.  
  382.       However, the alarm message "*.COM has changed!!!" is not particularly
  383.       useful. When contrasted with Leprechaun Software's Virus-Buster
  384.       advisories/warnings and the redoubtable Integrity Master, by
  385.       Stiller Research, both of which attempt to explain the possible
  386.       reasons for change and a range of appropriate actions, the Toolkit's 
  387.       response is laughable. In addition, the Toolkit makes the user 
  388.       manually edit the files that contain its integrity data as programs 
  389.       are removed or renamed.  This is a fairly rudimentary task, but still 
  390.       beyond the scope of the average Prodigy subscriber. 
  391.       
  392.       Included with the Toolkit are some special programs. BROWSE
  393.       lets the user look at a suspicious file for "gotcha" messages.
  394.       This is a nice touch and one all anti-virus programs should
  395.       include.  NOHARD and NOFLOPPY write protect respective disks.
  396.       This is, IMHO, a useless and intrusive feature in everyday 
  397.       computing, but handy if you're going in harm's way.
  398.  
  399.       The Toolkit also offers a standard array of repair functions
  400.       for recognized viral infections. It rightly backs off on making
  401.       any grand claims about the efficacy of these measures and sure 
  402.       enough, the program took a hands-off approach to some minor variants
  403.       of recognized infections by merely renaming the file. When
  404.       repairing file virus infections, the Toolkit will rescan
  405.       a program after removal - a good feature which uncovers
  406.       multiple infections.
  407.  
  408.       The Toolkit also has an interesting embedded virus database.
  409.       In it, viruses are described with regards to incidence, type of 
  410.       infection, damage, encryption, and stealth properties. I had to 
  411.       laugh at the frequent incidence description: "Not in the wild, but 
  412.       could be." This is the best example of a waffle I've seen in 
  413.       a long time, and it's been an election year.
  414.  
  415.       On a positive note, the Toolkit's FindVirus ably detected all
  416.       the Mutation Engine variants I was able to generate.
  417.  
  418.       In conclusion, without the manual Solomon's Toolkit would seem like
  419.       impenetrable murk to most users.  Indeed, it's not entirely
  420.       fair to judge the Toolkit - which despite some glaring faults
  421.       is serviceable software - without this component. But I ask you, 
  422.       will the average Prodigy user read, use and understand a 
  423.       $40 manual? Hahaha. Bet against.
  424.       
  425.       *******************************************************************
  426.  
  427.       RAUBKOPY: AN ANTI-PIRACY VIRUS FROM GERMANY. FOR YOUR PLEASURE
  428.  
  429.       *******************************************************************
  430.  
  431.       You're going to like RAUBKOPY. Supplied as a DEBUG script in
  432.       this issue, RAUBKOPY - which translates literally as "theft
  433.       copy" or pirate, I presume - is a direct-action infector of
  434.  
  435.                                      Page 7
  436.  
  437.  
  438.  
  439.  
  440.       .COM and .EXE files. Infected .COMfiles have the virus
  441.       body added to their beginning; with .EXE's the virus is
  442.       appended to the end. RAUBKOPY restricts itself to a single
  443.       directory on call and attempts to infect as many as 5
  444.       executables in a single go.  RAUBKOPY is encrypted and resists
  445.       simple methods of breaking 8 and 16-bit encryption schemes.
  446.  
  447.       The interesting feature of RAUBKOPY is its anti-piracy message,
  448.       displayed often and in German. Run RAUBKOPY a few times -
  449.       you'll be sure to see it.
  450.  
  451.       It is:
  452.                    -----------------------
  453.                        A C H T U N G !
  454.                    _______________________
  455.  
  456.           "The Benutzung einer Raubkopi ist strassbar.
  457.           Nur wer Original-Disketten, Handbucher,
  458.           oder PD-Lizenzen besitzt dank 
  459.           Kopien verwenden.
  460.  
  461.           Programmeirung ist muhevolle Detailarbeit.
  462.           Wer Raubkopien verwendet, betrugt 
  463.           Programmierer und der Lohn ihrer Arbeit."
  464.  
  465.       The machine waits a moment and then prompts the user again,
  466.  
  467.          "Bist Du sauber" (Are you honest?) (J/N) 
  468.  
  469.       Hit J for "Ja!" and the infected program will function.
  470.  
  471.       An on-the-fly (so don't sue if it's imprecise) translation is:
  472.  
  473.       "Attention!
  474.       The use of "Raubkopi" is restricted.
  475.       Only those with the original diskettes, manuals
  476.       or PD licenses may distribute copies.
  477.  
  478.       "Programming is strenuous, exacting work.
  479.       Those who distribute pirated files, betray
  480.       programmers and the integrity of their work."
  481.  
  482.       RAUBKOPY will also try to meddle with the fixed disk very late in
  483.       the afternoon or after the 12th of any month. VSUM reports this
  484.       as a buggy routine which fails; on my machine RAUBKOPY hung
  485.       the processor after making the disk spin.  Although
  486.       RAUBKOPY appears to be harmless, it would be wise to be a little
  487.       cautious when tinkering with it.
  488.  
  489.       *****************************************************************
  490.       ACME VIRUS - ANOTHER COMPANION INFECTOR
  491.       *****************************************************************
  492.  
  493.       Also in this issue: ACME. ACME is another nuisance companion
  494.       virus - simple but easy to drive through the holes of most
  495.       anti-virus file integrity schemes.  ACME will try to create
  496.  
  497.                                      Page 8
  498.  
  499.  
  500.  
  501.  
  502.       companion files for every .EXE in the current directory in
  503.       one pass. Those new to the Crypt newsletter will want to
  504.       know that these files are 912-byte hidden, read-only images
  505.       of the ACME virus renamed as a COMfile equivalent of the
  506.       "infected" target. When the "infected" target is executed,
  507.       ACME will gain control of the computer, a consequence
  508.       of the fact the DOS will choose .COM programs before .EXE
  509.       programs of the same name to execute first.
  510.  
  511.       ACME will lock up the PC with some insane music at 4 in
  512.       the afternoon and release its grip right after midnight.
  513.       ACME won't pollute your data - remove the virus by
  514.       erasing all the hidden, read-only images it produces.
  515.       Try it against Solomon's Toolkit, CPAV or your favorite
  516.       installed software. You will be surprised how quickly
  517.       ACME crawls all over it. Since ACME is restricted to
  518.       a single directory, it is hard for me to imagine it getting
  519.       very far. However, since it is very infectious, an ill-informed
  520.       clumsy reader could have it get away from them. Fortunately,
  521.       ACME is not nasty at all.
  522.       
  523.       ***************************************************************
  524.       PROTO-T: A RESIDENT .COM infector NAMED AFTER ANOMYMOUS
  525.       ELECTRONIC QUACKS
  526.       ***************************************************************
  527.        
  528.  
  529.       And here it is! The dangerous, baffling PROTO-T! PROTO-T is
  530.       a memory resident infector of .COMfiles. PROTO-T WILL also
  531.       successfully infect COMMAND.COM if given the opportunity while 
  532.       in memory.
  533.  
  534.       PROTO-T diminishes the amount of memory by around 1k and a
  535.       simple MEM /c command will reveal it, IF the user has enough
  536.       brains to remember what the free memory of his machine was
  537.       BEFORE PROTO-T was installed.
  538.  
  539.       Files infected by PROTO-T gain the ASCII string, "This program
  540.       is sick. [PROTO-T by Dumbco, INC.]"  In addition, after 4 in
  541.       the afternoon PROTO-T infected programs will issue two
  542.       ugly squawks from the speaker and then begin to read the 
  543.       hard file very quickly, mimicking a massive disk trashing.
  544.       The programs won't function, of course, but the disk will
  545.       be unscathed. It's a good demonstrator and convincingly
  546.       unsettling.
  547.  
  548.       Enjoy PROTO-T!
  549.  
  550.       And remember, in the words of Devin What'shisname, "I don't
  551.       like the looks of this one, not at all..."
  552.  
  553.       ***************************************************************
  554.  
  555.       LATE STUFF FYI: Here's a list of virus exchange BBS's pulled
  556.       off the FidoNet.
  557.  
  558.  
  559.                                      Page 9
  560.  
  561.  
  562.  
  563.  
  564.      1) U.S.S.R System PHALCON/SKISM   (091) 514-975-9362      DS
  565.      Apply with John Johnson at Landfill BBS 914-hak-vmbs
  566.  
  567.      2) Darkcoffin/Crypt HQ            (091) 215-966-3576      V32bis
  568.       Sysop : Tim Caton
  569.  
  570.      3) The VIRUS                      (091) 804-599-4152      2400
  571.      Fidonet 1:271/297, Sysop : Aristotle, John A.Buchanan
  572.  
  573.      4) The VIRUS EXCHANGE             (091) 602-569-2420      14.4
  574.      Sysop : Michael Coughlin
  575.  
  576.      5) HSRC BBS, David Butler         (012) 28-3124           2400
  577.      Location : Pretoria, South Africa
  578.      Time 24Hrs
  579.      To phone from outside South Africa: 27-12-283124
  580.      *Appears to be the Human Science Resource Center.
  581.  
  582.      6) Nemesis Eye, BBS, Darth Vader  (021) 405-3543          2400
  583.      Location : Cape Town, South Africa
  584.      Time  16Hrs to 07Hrs GMT
  585.      To phone from outside South Africa 27-21-4053543
  586.  
  587.      Ionic Destruction                                    215-722-4524
  588.      Nun Beaters Anonymous                                708-251-5094
  589.      The Hell Pit BBS                                     708-459-7267
  590.                                               
  591.      
  592.      Incidentally, you may also find new copies of the Crypt letter at
  593.      these points.
  594.  
  595.      ------------------------------------------------------------------
  596.  
  597.      Nowhere Man reports that he is feverishly working on completion of
  598.      Virus Creation Laboratory 2.0 for a near holiday release. And look
  599.      for N.E.D. polymorphic viruses to start popping up in early
  600.      January.
  601.  
  602.      ******************************************************************
  603.  
  604.      ATTENTION READERS! TIME TO GET YOUR DIGS IN FOR THE FIRST ANNUAL
  605.      CRYPT VIRUS/ANTI-VIRUS/VIRUS AWARDS!
  606.  
  607.      ******************************************************************
  608.  
  609.      In December, we'll release our picks in a variety of topics for
  610.      best and worse in the virus/anti-virus community. A few of
  611.      the categories:
  612.  
  613.            Most interesting virus:
  614.            Most valuable player, virus programmer or other:
  615.            Best virus exchange:
  616.            National Dummkopf:
  617.            Best a-v scanner:
  618.            Best a-v software, overall:
  619.            Best publication (we humbly disqualify ourselves):
  620.  
  621.                                      Page 10
  622.  
  623.  
  624.  
  625.  
  626.            Biggest flaming idiot:
  627.  
  628.      Since they're gonna be editor's choices, they'll be purely subjective.
  629.      Nyah! But you, the Crypt reader, can get into the action, too!
  630.      Post your picks and pans on the VxNet with your own trenchant wit
  631.      and I'll be looking for 'em to include in the article. Or, ensure
  632.      your place in the Crypt letter by e-mailing them to me, URNST
  633.      KOUCH, at the BBS's listed at the end of this Crypt letter.
  634.  
  635.      
  636.      ********************************************************************
  637.      IN THE READING ROOM: A HUMDINGER, PHILIP ZIMMERMAN'S 'PRETTY GOOD
  638.      PRIVACY' DOCUMENTATION
  639.      ********************************************************************
  640.  
  641.      "Forbidden freeware" is how Philip Zimmerman describes his Pretty
  642.      Good Privacy 2.0 encryption programs. Hah? Yup, I'm reading the
  643.      docs to a freeware program! Docs you might like to browse
  644.      yourself.
  645.  
  646.      In a testament to the evil of lawyers and government secrecy,
  647.      Zimmerman explains why he can't distribute Pretty Good Privacy
  648.      and why it's contraband, of sorts. The tangled story, according
  649.      to Zimmerman, revolves around a litigation firm known as Public
  650.      Key Partners who own the patent to the RSA encryption used in
  651.      his program. They don't own it in any other country, only the
  652.      U.S. and, apparently, PKP isn't interested in licensing it or
  653.      providing software which uses it. But the Pretty Good Privacy
  654.      methods are in the open literature, the source code is published 
  655.      and anyone can see it. But no one is supposed to use it. 
  656.      In the U.S.A. Wow. 
  657.      
  658.      Nevertheless, Pretty Good Privacy and its source code can be found 
  659.      on thousands of BBS's across the country. 
  660.      
  661.      It's an absurd situation and answers this question: "What do
  662.      you do if you're trapped in a room with Adolf Hitler, Saddam
  663.      Hussein and a lawyer and your gun has two bullets?"
  664.      Answer: "Shoot the lawyer twice."
  665.  
  666.      The Crypt newsletter recommends you find Pretty Good Privacy
  667.      and read the docs. Heh. They're free.
  668.  
  669.      ********************************************************************
  670.      THE FINAL CREDITS ROLL!
  671.      ********************************************************************
  672.  
  673.      Software included with this issue of the Crypt newsletter can be
  674.      assembled by ensuring the MS-DOS program, DEBUG.EXE, is in
  675.      the path and typing: DEBUG <*.scr, where *.scr is the scriptfile
  676.      of interest. Even simpler, throw DEBUG.EXE into your current
  677.      directory with all the files from this newsletter and type
  678.      MAKE. The enclosed MAKE.BAT file will do the rest, prompting your
  679.      machine to produce working copies of the ACME, RAUBKOPY and
  680.      PROTO-T viruses in the current directory.
  681.  
  682.  
  683.                                      Page 11
  684.  
  685.  
  686.  
  687.  
  688.      Keep in mind that in the hands of incompetents, the ill-informed
  689.      and/or lazy, viruses assembled from code in the newsletter can
  690.      mess up data on your machine, sometimes irretrievably. If this
  691.      happens, your day will seem overlong and you may want to kick
  692.      something. Don't curse the newsletter, puh-leez. We're telling
  693.      you viruses WILL mangle your programs, it's what they DO.
  694.  
  695.      This issue of the newsletter should contain the following files:
  696.  
  697.          CRPTLET.TR9 - this electronic document
  698.          ACME.SCR - DEBUG scriptfile for the ACME companion virus
  699.          ACME.ASM - A86 listing for the ACME virus
  700.          RAUBKOPY.SCR - DEBUG scriptfile for the RAUBKOPY virus
  701.          PROTO-T.SCR - DEBUG scriptfile for the PROTO-T virus, by Dumbco
  702.          PROTO-T.ASM - TASM/MASM listing for PROTO-T virus
  703.          MAKE.BAT - handy, dandy makefile for Crypt software. Add
  704.          DEBUG and stir.
  705.  
  706.     If any of these files are missing, ensure completeness by grabbing a
  707.     copy of the Crypt newsletter from the following BBS's:
  708.  
  709.  
  710.         CryPt HQ ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ Dark Coffin VX ∙∙∙∙∙∙∙∙ 215.966.3576
  711.  
  712.         Member Support ∙∙∙∙∙∙∙∙∙∙∙∙∙∙ VIRUS_MAN BBS ∙∙∙∙∙∙∙∙∙ ITS.PRI.VATE
  713.         Southwest Distribution ∙∙∙∙∙∙ Virus Exchange/CC ∙∙∙∙∙ 602.569.2420
  714.  
  715.  
  716.    And one last request: Don't upload copies of the Newsletter to the
  717.    Dark Coffin. It makes you seem stupid and waists your valuable long-
  718.    distance on-line time. Thankee for your support.
  719.  
  720.                                  -*-
  721.  
  722.  
  723.  
  724.  
  725.  
  726.  
  727.  
  728.  
  729.  
  730.  
  731.  
  732.  
  733.  
  734.  
  735.  
  736.  
  737.  
  738.  
  739.  
  740.  
  741.  
  742.  
  743.  
  744.  
  745.                                      Page 12
  746.