home *** CD-ROM | disk | FTP | other *** search
/ Magnum One / Magnum One (Mid-American Digital) (Disc Manufacturing).iso / d23 / guard1b.arc / GUARDIAN.TXT < prev    next >
Text File  |  1989-09-25  |  51KB  |  986 lines

  1.   ----------------------------------------------------------------
  2.   |                       THE GUARDIAN LIST                      |
  3.   |                                                              |
  4.   |       -- An Uploaded Trojan/Virus Program Alert List.        |
  5.   |          This list is distributed thru FidoNet and           |
  6.   |          LCRNET.                                             |
  7.   ----------------------------------------------------------------
  8.   |                                 Issue #1:      Sept 25, 1989 |
  9.   |                                                              |
  10.   |                                 Revision Stage 'B'           |
  11.   |                                                              |
  12.   |Compiled by Sysops of FidoNet and LCRNET and other sources    |
  13.   |Edited by Tom Sirianni of FidoNet 105/301                     |
  14.   ----------------------------------------------------------------
  15.  
  16. Introductory Note:
  17.  
  18. This Trojan Alert List is dedicated to the efforts of the End
  19. User and the Sysop of whom had very little support. Now thru The
  20. Guardian those Users/Sysops stand a chance in fight against worms,
  21. trojans, and viruses, and reporting the results to you, the User.
  22. It is because of these efforts of many Sysops who spent fruitless
  23. hours to have a BBS online and the End User who loves PD and
  24. ShareWare programs that this list is presented to you. And is
  25. aggressively maintained.
  26.  
  27. Although there are other lists available The Guardian is always
  28. up to date and distributed thru FidoNets SDS network assuring its
  29. distribution Internationally in a matter of days and feel it will
  30. be of most benefit as such. Much of what goes into The Guardian
  31. List comes from the DIRTY_DOZEN echo conference. Within this
  32. conference are Sysops and Users from around the world which help
  33. in its determination of what is and is not trojan/virus. Also
  34. there groups in Universities that are now participating.
  35.  
  36. What's in the future? As the SDNet/Works! (The Sharware
  37. Distribution Network) takes affect you will see less attack on
  38. the Sysop as files are distributed thru a controlled source -
  39. direct from the Authors. Until this concept is fully utilized
  40. The Guardian List will be here to help you the User and the
  41. Sysop and those Sysops not in FidoNet or LCRNET.
  42.  
  43.                                    Tom Sirianni
  44.                                    SCP Business BBS
  45.                                    FidoNet 105/301
  46.                                    LCRNET 1010/0
  47.  
  48. SCP Business BBS nor its Editor assumes any responsibility for the
  49. validity or completeness of this list.  Many sources contribute to
  50. the list, and it is very possible that one of the reported files
  51. works perfectly and is in the Public Domain.
  52.  
  53. But all the same, it is quite possible that a mistake will slip in
  54. somewhere.  Since this is the case, please keep in mind while
  55. reading this list that, however unlikely, it is possible that I am
  56. (or my sources are) incorrect in any accusation.
  57.  
  58. Note: ** Some TROJANS are designed to work only on [Hard] Drives **
  59.          so it may work just fine a Diskette System.
  60.  
  61.  
  62. HELP FROM USERS REQUESTED:
  63.  
  64. Users upload bad software to hundreds of boards every day, and
  65. often times, the software is not yet in this list, or the file may
  66. have been corrupted due to a bad ARCHIVE.  However, if you run a
  67. trojan horse program that is not listed here, please don't send it
  68. to SCP Business BBS.  Instead, give me a call (SCP Business BBS
  69. phone 1-503-648-6687 9600-v32/2400/1200/300 baud supported) and
  70. leave me a message about the program (with a complete filename
  71. and any other information you may have) so that I can get the
  72. destructive program in the next issue. It is important to verify
  73. that the program is a TROJAN and not an OPERATOR error.  If anyone
  74. is unsure whether or not a file is a Trojan, and it's not listed in
  75. the DD list, I recommend using a utility like BOMBSQAD.COM or
  76. CHK4BOMB.EXE to prevent any mishaps.  For VIRUSES, use VirusScan
  77. or FlusShot+. If after calling I may want you up load it just to
  78. verify it myself if you are unable to.
  79.  
  80.  
  81. A WORD FROM TOM SIRIANNI:  NEW TYPE OF TROJAN -- THE VIRUS...
  82.  
  83. A Virus is a trojan which attaches itself to certain files and at
  84. predetermined time attacks your FAT, DIR, and/or BOOT areas,
  85. CROSS-LINKing files and looking for ways to attach itself to
  86. diskettes and other disks containing files such as IBMDOS, IBMBIO,
  87. COMMAND.COM, etc.  This type of virus spreads its dirty work to
  88. other systems much like the flu or a cold, relying on the user to
  89. spread the VIRUS.  Protection (to a limited degree) from these
  90. virus strains is available ShareWare programs SENTRY.ZIP,
  91. SCANV37.ZIP (VirusScan), and FSP17.ZIP (FluShot Plus v1.7),
  92. which are all available on the SCP Business BBS, 105/301 FidoNet,
  93. 1-503-648-6687 (PC-Pursuit ORPOR). Or SDS nodes within FidoNet
  94. (note that SDS and SDN two seperate enities).
  95.  
  96. The best program, called SCAN, better know as VirusScan, can
  97. check any physical or logical drive or diskette for any file
  98. infected by a Virus. It will tell what type of Virus and where it
  99. is located.
  100.  
  101.  
  102. WHAT TO DO IF YOU THINK YOU ARE INFECTED WITH A TROJAN/VIRUS
  103.  
  104. There are three ways to tell if you are infected:
  105.  
  106. 1)   First, have a GOOD DOS diskette with COMMAND.COM on it, PLUS
  107. put a WRITE-PROTECT TAB on your DOS disk.  Then, from your system,
  108. do a DIR on the good DOS diskette.  If you get a WRITE-ERROR, you
  109. are infected -- DIR does not do any writing of any kind, whereas
  110. the VIRUS does.
  111.  
  112. 2)   Another way is to check and compare the time-date stamp of
  113. COMMAND.COM.  The Virus writes to the COMMAND.COM thereby changing
  114. the time-date stamp.
  115.  
  116. 3)   Use SCAN to tell if you are infected and it will tell you
  117. what type.
  118.  
  119.      
  120. The psychologically unbalanced individuals writing and uploading
  121. these programs will change their viral methods, so beware.  Many
  122. new viral detection programs are in the works, both commercially
  123. and in the public domain, to keep up with the viral programs we
  124. have available, to confirmed SYSOPS, Virus/Trojan information
  125. texts on SCP Business BBS. The Virus text files are ZIPed and can
  126. be File Requested thru FidoNet BBS's as VIRUS-1.ARC & VIRUS-2.ARC.
  127.  
  128.  
  129. Simple precatuions:
  130.  
  131. The thing to do is to check the contents of your downloads via
  132. the verbose command of the type of arcer used, make sure ANSI.SYS
  133. is disbaled first.  DO NOT DOWNLOAD any files without any
  134. available or known documentation unless you are assured it is safe
  135. by the SYSOP.  Also, do not accept any ARCHIVE or diskette
  136. containing a file named COMMAND.COM. Use VirusScan!!!
  137.  
  138. Remember -- these new TROJANS are no laughing matter.  Without
  139. causing mass hysteria, use your best judgment, and check your
  140. procedures first!
  141.  
  142. Final note there is a commercial program called C-4 by InterPath
  143. Corp., which will to date detect and contain ALL known
  144. PC-VIRUSES. So for the ultimate 100% protection get C-4.
  145.  
  146.                        C-4 by InterPath Corp.
  147.                        4423 Cheeney St.
  148.                        Santa Clara, Calif.
  149.                                        95054
  150.                        1-408-988-3832
  151.                                  was $40.00
  152.  
  153.                        ----------------------
  154.  
  155.  
  156. A word on TROJANS -
  157.  
  158. In the course of time trojans/viruses have gained MEDIA attention
  159. unfortunately RUMORS have always played a major factor in its
  160. notoriety. Truth is of all those reported are minimal compared
  161. to the vast amounts of programs out there in the BBS community.
  162. Some are designed to defame people or companies as an example -
  163. Dorn Stickel has been noted to be a supposed Author of several
  164. TROJANS. But in real life he is not that person. So until
  165. verified do not think it is real at the same time do not ignore
  166. the existence either. Be cautious with all types of file
  167. transfers in all types of media used.
  168.  
  169.  
  170. ANSI TEXT FILES/DOC FILES:
  171.  
  172. Did you know a TROJAN can be used in DOC and TEXT files?  If your
  173. system is configured for ANSI.SYS in your CONFIG.SYS file, your
  174. keyboard could be redirected or the keys reconfigured.
  175.  
  176. For example, you could hit the F1 key and the trojan could do a
  177. High Level Format; or hit ALT-X and it will say "del *.* and yes". 
  178. It can answer to the prompts and before you say, "What the
  179. '(&^(~*%' is going on?", your system is deleted. And it can also
  180. hide those commands.
  181.  
  182. USE A BROWSER OR LISTER PROGRAM WHEN LOOKING AT ANY TEXT/DOC FILE;
  183. even an editor or PC Tools Edit or Word Process will work.  This
  184. way, no redirection can take place.
  185.  
  186.  
  187. ANSI IN ARC FILES:
  188.  
  189. It has noted that it is possible to put ANSI redirection codes
  190. within several types of ARCERS used to arc files in the BBS
  191. community. To be safe do not do a VERBOSE listing at a ARC unless
  192. you make sure ANSI.SYS is disabled in the CONFIG.SYS of your
  193. system. Also there are several utilites available thru a SDS nodes
  194. in FidoNet such as STRIPZIP which will takes those ANSI codes out
  195. of the ARCed file. A note: current versions of LHARC, PAK, and
  196. PKZIP now defualt to ANSI display turned OFF so this help.
  197.  
  198. Final Note:
  199.  
  200. Before we go into the listing as current date of this issue it
  201. seems to be that the Jeruselem Virus is the most natorious or
  202. most promient. When infected the way to get rid of the Virus is
  203. to run VirusScan to determine which file it is then delete that
  204. and replace it with GOOD file.
  205.  
  206. ------------------------------------------------------------------
  207.  
  208.  
  209. TITLE DEFINITIONS:
  210.  
  211.  TROJAN                  These programs PURPOSEFULLY damage a
  212.                          user's system upon their invocation. 
  213.                          They usually aim to disable [Hard] disks,
  214.                          although they can destroy other
  215.                          equipment, too.
  216.  
  217.  VIRUS                   These programs are the ultimate TROJAN
  218.                          designed to infect as well as destroy
  219.                          the Users system and others that it
  220.                          infects. Its sole purpose is to
  221.                          replicate itself while destroying the
  222.                          system. This term will be used in
  223.                          conjunction with those files that are
  224.                          infected as well as those files that
  225.                          start the virus.
  226.  
  227.  CAREFUL                 Programs labeled in this manner may
  228.                          may not be trojans; the question is
  229.                          how its used. Use caution when running
  230.                          these programs!
  231.  
  232.  *                       The asterisks will be used to show that
  233.                          the file may or may not be "BAD" or
  234.                          unresolved.
  235.  
  236.  
  237. NOTE:  If a file extension is not supplied, that means that the
  238. file circulates under many different extensions.  For instance,
  239. users commonly upload with extensions of .ARC, .PAK, .LZH, .SDN,
  240. .ZOO, .ZIP or as .EXE or .COM file.
  241.  
  242.  -----------------------------------------------------------------
  243.  |                   TROJAN HORSE PROGRAMS:                      |
  244.  -----------------------------------------------------------------
  245.  
  246. NAME             CATEGORY  NOTES
  247. --------------   --------  ---------------------------------------
  248. 3X3SHR           *TROJAN   Time Bomb type trojan wipes the [Hard]
  249.                            Drive clean. File size is 78848.
  250.  
  251. ANTI-PCB         *TROJAN   The story behind this trojan horse is
  252.                            sickening.  Apparently one RBBS-PC
  253.                            sysop and one PC-BOARD sysop started
  254.                            feuding about which BBS system is 
  255.                            better, and in the end the PC-BOARD
  256.                            sysop wrote a trojan and uploaded it to
  257.                            the rbbs SysOp under ANTI-PCB.COM.  Of
  258.                            course the RBBS-PC SysOp ran it, and
  259.                            that led to quite a few accusations and
  260.                            a big mess in general.  Let's grow up! 
  261.                            Every SysOp has the right to run the
  262.                            type of BBS that they please, and the
  263.                            fact that a SysOp actually wrote a
  264.                            trojan intended for another simply
  265.                            blows my mind.
  266.  
  267. ARC2ZIP.EXE        VIRUS   This Leigh Virus strain that attacks
  268.                            the COMMAND.COM and is used in 
  269.                            converting ARCed files to ZIPed files.
  270.                            This file also copies itself into the
  271.                            ZIPed file as well as remaining a TSR
  272.                            within the COMMAND.COM. Also it is 
  273.                            always looking for the COMMAND.COM on
  274.                            a FLOPPY diskette. So it has two ways
  275.                            of infection.
  276.  
  277. ARC513.EXE       *TROJAN   This hacked version of ARC appears
  278.                            normal, so beware!  It will write over
  279.                            track 0 of your [hard] disk upon usage,
  280.                            destroying the disk.
  281.  
  282. ARC514.COM       *TROJAN   This is totally similar to ARC version
  283.                            5.13 in that it will overwrite track 0
  284.                            (FAT Table) of your [Hard] disk.  Also, I
  285.                            have yet to see an .EXE version of this
  286.                            program.
  287.  
  288. ARC533.EXE         VIRUS   This is a new Virus program designed to
  289.                            emulate Sea's ARC program. It infects
  290.                            the COMMAND.COM. Leigh Virus Type.
  291.  
  292. BACKTALK         *TROJAN   This program used to be a good PD
  293.                            utility, but someone changed it to be
  294.                            trojan.  Now this program will write/
  295.                            destroy sectors on your [hard] disk
  296.                            drive.  Use this with caution if you
  297.                            acquire it, because it's more than
  298.                            likely that you got a bad copy.
  299.  
  300. B30012A.ARC       *TROJAN  Was supposed to be a Quick BBS utiltiy
  301.                            to handle 300 baud Users. But what it
  302.                            really does is delete many of the
  303.                            general directories used by a Quick
  304.                            BBS system.
  305.  
  306. CDIR.COM         *TROJAN   This program is supposed to give you a
  307.                            color directory of files on your disk,
  308.                            but it in fact will scramble your
  309.                            disk's FAT table.
  310.  
  311. D-XREF60.COM      TROJAN   A Pascal Utility used for Cross-
  312.                            Referencing, written by the infamous
  313.                            `Dorn Stickel.  It eats the FAT and
  314.                            BOOT sector after a time period has
  315.                            been met and if the [Hard] Drive is more
  316.                            than half full.
  317.  
  318. DANCERS.BAS      *TROJAN   This trojan shows some animated dancers
  319.                            in color, and then proceeds to wipe out
  320.                            your [hard] disk's FAT table.  There is
  321.                            another perfectly good copy of
  322.                            DANCERS.BAS on BBS's around the
  323.                            country; apparently the idiot trojan
  324.                            author in question altered a legitimate
  325.                            program to do his dirty work.
  326.  
  327. DISKSCAN.EXE      TROJAN   This was a PC-MAGAZINE program to scan
  328.                            a [hard] disk for bad sectors, but then
  329.                            a joker edited it to WRITE bad sectors. 
  330.                            Also look for this under other names
  331.                            such as SCANBAD.EXE and BADDISK.EXE.  A
  332.                            good original copy is availble on SCP
  333.                            Business BBS.
  334.  
  335. DMASTER          *TROJAN   This is yet another FAT scrambler.
  336.  
  337. DOSKNOWS.EXE     *TROJAN   I'm still tracking this one down --
  338.                            apparently someone wrote a FAT killer
  339.                            and renamed it DOSKNOWS.EXE, so it
  340.                            would be confused with the real,
  341.                            harmless DOSKNOWS system-status
  342.                            utility.  All I know for sure is that
  343.                            the REAL DOSKNOWS.EXE is 5376 bytes
  344.                            long.  If you see something called
  345.                            DOSKNOWS that isn't close to that size,
  346.                            sound the alarm.
  347.  
  348. DOS-HELP          TROJAN   This trojan, when made memory-resident,
  349.                            is supposed to display a DOS command
  350.                            for which the User needs help with.
  351.                            Works fine on a Diskette system but on
  352.                            a [Hard] DRIVE system tries to format the
  353.                            [Hard] Disk with every access of
  354.                            DOS-HELP.
  355.  
  356. DPROTECT         *TROJAN   Apparently someone tampered with the
  357.                            original, legitimate version of
  358.                            DPROTECT and turned  it into a
  359.                            FAT-table eater. A good version is
  360.                            available on SCP Business BBS.
  361.  
  362. DRAIN2           *TROJAN   There really is DRAIN program, but this
  363.                            revised program goes out does Low Level
  364.                            Format while it is playing the funny
  365.                            program.
  366.  
  367. DROID.EXE        *TROJAN   This trojan appears under the guise of
  368.                            a game.  You are supposedly an 
  369.                            architect that controls futuristic
  370.                            droids in search of relics.  In fact, 
  371.                            PC-Board sysops, if they run this
  372.                            program from C:\PCBOARD, will find that
  373.                            it copies C:\PCBOARD\PCBOARD.DAT to
  374.                            C:\PCBOARD\HELP\HLPX.  In case you were
  375.                            wondering, the file size of the .EXE
  376.                            file is 54,272 bytes.
  377.  
  378. DRPTR.ARC         TROJAN   File found on two boards in the 343
  379.                            Net.  After running unsuspected file,
  380.                            the only things left in the Sysop's
  381.                            root directory were the subdirectories
  382.                            and two of the three DOS System files,
  383.                            along with a 0-byte file named
  384.                            WIPEOUT.YUK.  The Sysop's COMMAND.COM
  385.                            was located in a different directory;
  386.                            the file date and CRC had not changed.
  387.  
  388. DSZ (Patch)     *CAREFUL   The author of this protocol program,
  389.                            Chuck Forsberg, warns that anyone using
  390.                            an Unregistered version of DSZ that was
  391.                            HACKED with a downloaded PATCH to make
  392.                            it work fully, might result in a
  393.                            SCRAMBLED FAT TABLE. Seems someone
  394.                            created the HACK PATCH and then U/L'd
  395.                            it to BBS's.  *BEWARE* of the PATCH! 
  396.                            It is not the DSZ program that does the
  397.                            dirty work, but the PATCH.
  398.  
  399. EGABTR           *TROJAN   BEWARE! Description says something like
  400.                            "improve your EGA display," but when
  401.                            run, it deletes everything in sight and
  402.                            prints, "Arf! Arf! Got you!"
  403.  
  404. EMMCACHE        *CAREFUL   This program is not exactly a trojan,
  405.                            but it (v. 1.0) may have the capability
  406.                            of destroying [Hard] disks by:
  407.                            A) Scrambling every file modified after
  408.                            running the program.
  409.                            B) Destroying boot sectors.
  410.                            This program has damaged at least two
  411.                            [Hard] disks, yet there is a base of
  412.                            happily registered users.  Therefore, I
  413.                            advise extreme caution if you decide 
  414.                            to use this program.
  415.  
  416. FILER.EXE        *TROJAN   One SysOp complained a while ago that
  417.                            this program wiped out his 20 Megabyte
  418.                            [Hard] disk.  I'm not so sure that he was
  419.                            correct and/or telling the truth any
  420.                            more.  I have personally tested an
  421.                            excellent file manager also named
  422.                            FILER.EXE, and it worked perfectly. 
  423.                            Also, many other SysOp's have written
  424.                            to tell me that they have like me used
  425.                            a FILER.EXE with no problems.  If you
  426.                            get a program named FILER.EXE, it is
  427.                            probably alright, but better to test it
  428.                            first using some security measures.
  429.  
  430. FILES.GBS        CAREFUL   When an OPUS BBS system is installed
  431.                            improperly, this file could spell
  432.                            disaster for the Sysop.  It can let a
  433.                            user of any level into the system.
  434.                            Protect yourself.  Best to have a
  435.                            sub-directory in each upload area
  436.                            called c:\upload\files.gbs (this is an
  437.                            example only). This would force Opus to
  438.                            rename a file upload of files.gbs and
  439.                            prevent its usage.
  440.  
  441. FINANCE4.ARC    *CAREFUL   This program is not a verified trojan;
  442.                            there is simply a file going around
  443.                            BBS's warning that it may be a trojan. 
  444.                            In any case, execute extreme care with
  445.                            it.
  446.  
  447. FLU4TXT.COM       TROJAN   Man, when I thought we had it licked!
  448.                            This Trojan was inserted into the
  449.                            FluShot4.ARC and uploaded to many
  450.                            BBS's.  FluShot is a protector of your
  451.                            COMMAND.COM. The Author of FluShot
  452.                            posted this Trojan Warning, and I am
  453.                            posting it here in the DD.  If you need
  454.                            a good copy, you can get it from here--
  455.                            SCP Business BBS--or on COMPUSERVE.  As
  456.                            to date, 07/05/89 FSP_16.ZIP FluShot Plus
  457.                            v1.6 is the current version, not the
  458.                            FluShot4.ARC which is Trojaned.
  459.  
  460. FUTURE.BAS       *TROJAN   This "program" starts out with a very
  461.                            nice color picture (of what, I don't
  462.                            know) and then proceeds to tell you
  463.                            that you should be using your computer
  464.                            for better things than games and
  465.                            graphics.  After making that point, it
  466.                            trashes your A: drive, B:, C:, D:, and
  467.                            so on until it has erased all drives. 
  468.                            It does not go after the FAT alone; it
  469.                            also erases all of your data.  As far
  470.                            as I know, however, it erases only one
  471.                            sub-directory tree level deep, thus
  472.                            [Hard] disk users should only be
  473.                            seriously affected if they are in the
  474.                            "root" directory.  I'm not sure about
  475.                            this one either, though.
  476.  
  477. GATEWAY2         *TROJAN   Someone tampered with the version 2.0
  478.                            of the CTTY monitor GATEWAY.  What it
  479.                            does is ruin the FAT.  If you need a
  480.                            good copy, you can file request it or
  481.                            pick one up from 105/301--SCP Business
  482.                            BBS--at 1-503-648-6687.
  483.  
  484. GRABBER           TROJAN   This program is supposed to be SCREEN
  485.                            CAPTURE program that copies the screen
  486.                            to a .COM to be later ran from DOS
  487.                            command line - and as a TSR it will
  488.                            also attempt to do a DISK WRITE to [Hard]
  489.                            drive when you do not want it to.  It
  490.                            will wipe whole Directories when doing
  491.                            a normal DOS command.  One sysop who
  492.                            ran it lost all of his ROOT DIR
  493.                            including his SYSTEM files. The file
  494.                            status is :
  495.                            Name         Size  Date      Time
  496.                            GRABBER.COM  2583  05/28/87  22:10
  497.  
  498. GRASPRT.EXE        VIRUS   This file was in a porno file called
  499.                            SEXSHOE.LZH - originated of the
  500.                            PC-ECEX BBS, sysop too it off, but was
  501.                            D/L by a few Users. This is infection
  502.                            is of the Jerusalem-B Virus strain.
  503.                            The status is:
  504.                            Name         Size   Date      Time
  505.                            GRASPRT.EXE  73376  06/03/86  09:49
  506.  
  507. G-MAN            *TROJAN   Another FAT killer.
  508.  
  509. KC-PAL.COM        TROJAN   Infects the COMMAND.COM then attaches
  510.                            to any .COM file afterwards using the
  511.                            COMMAND.COM during its use of Internal
  512.                            commands (COPY, DIR, TYPE,etc..). The
  513.                            COMMAND.COM files is enlarged in size
  514.                            by 1538 bytes and in the Time column
  515.                            of the directory listing the seconds
  516.                            are reset from :00 to :62.
  517.  
  518. LM               *TROJAN   Deletes the COMMAND.COM and other
  519.                            files from the ROOT directory of the 
  520.                            [Hard] Drive when the program runs.
  521.  
  522. MAP               TROJAN   This is another trojan horse written by
  523.                            the infamous "Dorn Stickel." Designed
  524.                            to display what TSR's are in memory and
  525.                            works on FAT and BOOT sector. Also
  526.                            seems work only when the [Hard] Drive is
  527.                            50% or more full.
  528.  
  529. MATHKIDS.ARC     *TROJAN   This is a fairly benign trojan that
  530.                            will not reformat your [Hard] disks or do
  531.                            any system-level damage.  It is instead
  532.                            designed to crack a BBS system.  It
  533.                            will attemp to copy the USERS file on a
  534.                            BBS to a file innocently called
  535.                            FIXIT.ARC, which the originator can
  536.                            later call in and download.  Believed
  537.                            to be designed for PCBoard BBS's.
  538.  
  539. NOTROJ.COM       *TROJAN   This "program" is the most sophisti-
  540.                            cated trojan horse that I've seen to
  541.                            date.  All outward appearances indicate
  542.                            that the program is a useful utility
  543.                            used to FIGHT other trojan horses. 
  544.                            Actually, it is a time bomb that erases
  545.                            any [Hard] disk FAT table that IT can
  546.                            find, and at the same time, it warns:
  547.                            "another program is attempting a
  548.                            format, can't abort!  After erasing the
  549.                            FAT(s), NOTROJ then proceeds to start a
  550.                            low level format. One extra thing to
  551.                            note: NOTROJ only damages FULL [Hard]
  552.                            drives; if a [Hard] disk is under 50%
  553.                            filled, this program won't touch it! 
  554.                            If you are interested in reading a
  555.                            thorough report on NOTROJ.COM, James H.
  556.                            Coombes has written an excellent text
  557.                            file on the matter named NOTROJ.TXT. 
  558.                            If you have trouble finding it, you
  559.                            can get it from SCP Business BBS.
  560.  
  561. PACKDIR          *TROJAN   This utility is supposed to "pack"
  562.                            (sort and optimize) the files on a
  563.                            [hard] disk, but apparently it
  564.                            scrambles FAT tables.
  565.  
  566. PCW271xx.ARC     *TROJAN   A modified version of the popular
  567.                            PC-WRITE word processor (v. 2.71) has
  568.                            now scrambled at least 10 FAT tables
  569.                            that I know of.  If you want to
  570.                            download version 2.71 of PC-WRITE, be 
  571.                            very careful!  The bogus version can be
  572.                            identified by its size; it uses 98,274
  573.                            bytes whereas the good version uses
  574.                            98,644.  For reference, version 2.7 of
  575.                            PC-WRITE occupies 98,242 bytes.
  576.  
  577. PKX35B35.ARC }   *TROJAN   This was supposed to be an update to
  578. PKB35B35.ARC }    *VIRUS   PKARC file compress utility - which
  579.                            when used *EATS your FATS* and is or
  580.                            at least RUMORED to infect other files
  581.                            so it can spread - possible VIRUS?
  582.  
  583. PKPAK/PKUNPAK   *CAREFUL   There is a TAMPERED version of 3.61
  584.   v3.61                    that when used interfers with PC's
  585.                            interupts.
  586.  
  587. PKFIX361.EXE     *TROJAN   Supposed patch to v3.61 - what really
  588.                            does is when extracted from the .EXE
  589.                            does a DIRECT access to DRIVE
  590.                            CONTROLLER and does Low-Level format.
  591.                            Thereby bypassing checking programs.
  592.  
  593. PK362.EXE      *CAREFUL    This is a NON-RELEASED version and is
  594.                            suspected as being a *TROJAN* - not
  595.                            verified.
  596.  
  597. PK363.EXE      *CAREFUL    This is a NON-RELEASED version and is
  598.                            suspected as being a *TROJAN* - not
  599.                            verified.
  600.  
  601. PKZ100.EXE       TROJAN    Supposed to be a new release of PKZIP
  602.                            but what it really does is fill up
  603.                            your [Hard] drive with as many of
  604.                            directories until the system no longer
  605.                            functions. The current version is
  606.                            PKZIP v.092 not the v1.0.
  607.  
  608. QUIKRBBS.COM    *TROJAN    This Trojan horse advertises that it
  609.                            will install program to protect your
  610.                            RBBS but it does not.  It goes and eats
  611.                            away at the FAT.
  612.  
  613. QUIKREF         *TROJAN    This ARChive contains ARC513.COM.
  614.                            Loads RBBS-PC's message file into
  615.                            memory two times faster than normal. 
  616.                            What it really does is copy RBBS-PC.DEF
  617.                            into an ASCII file named HISCORES.DAT.
  618.  
  619. RCKVIDEO        *TROJAN    This is another trojan that does what
  620.                            it's supposed to do, and then wipes out
  621.                            [Hard] disks.  After showing some simple
  622.                            animation of a rock star ("Madonna," I
  623.                            think), the program will go to work on
  624.                            erasing every file it can lay it's
  625.                            hands on.  After about a minute of
  626.                            this, it will create three ascii files
  627.                            that say "You are stupid to download a
  628.                            video about rock stars," or something
  629.                            of the like.
  630.  
  631. SECRET.BAS      *TROJAN    BEWARE!! This may be posted with a note
  632.                            saying it doesn't seem to work, and
  633.                            would someone please try it; when you
  634.                            do, it formats your disks. 
  635.  
  636. SIDEWAYS.COM    *TROJAN    Be careful with this trojan; there is a
  637.                            perfectly legitimate version of
  638.                            SIDEWAYS.EXE circulating.  Both the
  639.                            trojan and the good SIDEWAYS advertise 
  640.                            that they can print sideways, but
  641.                            SIDEWAYS.COM will trash a [hard] disk's
  642.                            boot sector instead.  The trojan .COM
  643.                            file is about 3 KB, whereas the
  644.                            legitimate .EXE file is about 30 KB
  645.                            large.
  646.  
  647. STAR.EXE        *TROJAN    Beware RBBS-PC SysOps!  This file puts
  648.                            some stars on the screen while copying
  649.                            RBBS-PC.DEF to another name that can be
  650.                            downloaded later!
  651.  
  652. STRIPES.EXE     *TROJAN    Similar to STAR.EXE, this one draws an
  653.                            American flag (nice touch), while it's
  654.                            busy copying your RBBS-PC.DEF to
  655.                            another file (STRIPES.BQS) so the joker
  656.                            can log in later, download STRIPES.BQS, 
  657.                            and steal all your passwords.  Nice,
  658.                            huh!
  659.  
  660. SUG.COM          TROJAN    This one is supposed to go out and
  661.                            unprotect copy protected programs disks
  662.                            by Softguard Systems, Inc.  After it
  663.                            trashes your disk it comes back and
  664.                            displays:
  665.                            "This destruction constitutes a prima
  666.                            facie evidence of your violation.  If
  667.                            you attempt to challenge Softguard
  668.                            Systems Inc..., you will be vigorously
  669.                            counter-sued for copyright infringement
  670.                            and theft of services."
  671.                            AND it by-passes any attempt by
  672.                            CHK4BOMB to search for the any hidden
  673.                            messages that tell you, "YOU BEEN
  674.                            HAD... or GOTCHA>>> Ar..Ar..Ar..; it
  675.                            encrypts the Gotcha message so no
  676.                            Trojan checker can scan for it.
  677.  
  678. TIRED           *TROJAN    Another scramble the FAT trojan by Dorn
  679.                            W. Stickel.
  680.  
  681. TOPDOS          *TROJAN    This is a simple high level [hard] disk
  682.                            formatter.
  683.  
  684. TSRMAP          *TROJAN    This program does what it's supposed to
  685.                            do:  give a map outlining the location
  686.                            (in RAM) of all TSR programs, but it
  687.                            also erases the boot sector of drive
  688.                            "C:".
  689.  
  690. ULTIMATE.EXE     TROJAN    Another FAT eater - File status:
  691.                            Name         Size
  692.                            ULTIMATE.EXE 3090
  693.                            ULTIMATE.ARC 2432
  694.  
  695. UNIX              VIRUS    The UNIX operating system by Berkley
  696.                            verson 4.3, is an INTERNET virus, a
  697.                            Patch is available on SCP Business
  698.                            BBS. This is MAIL PACKET VIRUS.
  699.  
  700. VDIR.COM        *TROJAN    This is a disk killer that Jerry
  701.                            Pournelle wrote about in BYTE Magazine. 
  702.                            I have never seen it, although a
  703.                            responsible friend of mine has.
  704.  
  705. WOW              *VIRUS    Also known as the 1701 Virus. This
  706.                            is a new strain of the Leigh Virus
  707.                            as it not only looks for the 
  708.                            COMMAND.COM but any .COM file. As it
  709.                            does it, the infected file is enlarged
  710.                            1,701 bytes in SIZE. The infection 
  711.                            takes as you run the .COM, WOW is a 
  712.                            TSR. What it does when you run WOW is
  713.                            display an advertisement:
  714.                            ""The Wizards of Warez"
  715.                              in assocoation with
  716.                                 the copycats
  717.                             the Pirates Unlimited
  718.                                     OUTRUN
  719.                            WOW                     1989 "
  720.                            The virus is also known as WOWTITLE.
  721.  
  722.  
  723.  -----------------------------------------------------------------
  724.  |                If you run a trojan horse.....                 |
  725.  -----------------------------------------------------------------
  726.  
  727. While reading this, bear in mind that there is no better remedy
  728. for a drive that has run a trojan horse and been damaged than a
  729. recent backup.
  730.  
  731. The first thing to do after running what you think to be a trojan
  732. horse is to diagnose the damage.  Was your [hard] drive formatted? 
  733. Did the trojan scramble your FAT table?  Did every file get
  734. erased?  Did your boot sector on the [hard] drive get erased/
  735. formatted?  Odds are that the trojan incurred one of these four
  736. disasters.  After the initial diagnosis, you are ready to remedy
  737. the problem.
  738.  
  739. 1)   If the trojan low-level formatted your [hard] disk:
  740.      Hope that you have a recent backup; that's the only sure
  741.      remedy for this disease.
  742.  
  743. 2)   If the trojan high-level formatted your [hard] disk:  
  744.      There is only one way out of this mess, and that is to use
  745.      the MACE+ utilities by Paul Mace.  MACE+ has two devices in
  746.      it to recover formatted disks, and believe me, they work!  I
  747.      will talk more about the MACE+ utilities later.
  748.  
  749. 3)   If the trojan scrambled your FAT table:
  750.      Once again, there is nothing to do.  However, there is a
  751.      program called FATBACK.COM (available on my board named as
  752.      FATBACK.ZIP) that will back up your FAT table in under a
  753.      minute to floppy.  Using FATBACK, it is easy and non time
  754.      consuming to back up your FAT regularly.
  755.  
  756. 4)   If the trojan erased file(s), and the FAT table is undamaged: 
  757.      There are many packages to undelete deleted files.  Norton
  758.      Utilities, PC-Tools, MACE+, and there are others that'll do
  759.      the job.  I recommend the first three,  they are commercial
  760.      available at most computer software stores or mail-order
  761.      stores. When you are undeleting, be sure to undelete files in
  762.      the order of last time written to disk.
  763.  
  764. 5)   If the boot sector on your [hard] disk gets erased/formatted:
  765.      There are four things to do if this happens, and the worst
  766.      that can happen is that you will go without a [hard] disk for
  767.      a while.  To be on the safest side, back up everything before
  768.      even proceeding to step "A," although I can not see why it
  769.      would be necessary.
  770.  
  771.      A)   Try doing a "SYS C:" (or "SYS A:") from your original
  772.           DOS disk, and copy COMMAND.COM back onto the [hard]
  773.           drive after that.  Try booting, and if that doesn't
  774.           work, try step B.
  775.  
  776.      B)   If you have the MACE+ utilities, go to the "other
  777.           utilities" section and "restore boot sector."  This
  778.           should do the job if you have been using MACE+
  779.           correctly. If using PCTOOLS Delux us the MIRROR
  780.           REBUILD utility function.
  781.  
  782.      C)   If you are still stuck, BACK UP EVERYTHING and proceed
  783.           to do a low-level format.  Instructions on how to
  784.           perform a low-level format should come with your [hard]
  785.           disk controller card.  Be sure to map out bad sectors
  786.           using either SCAV.COM by Chris Dunford or by manually
  787.           entering the locations of bad sectors into the low-level
  788.           format program.  After the low level format on your hard 
  789.           disk, run FDISK.COM (it comes with DOS) and create a DOS
  790.           partition.  Refer to your DOS manual for help in using
  791.           FDISK.  Then put your original DOS diskette in drive A:
  792.           and do a FORMAT <drive letter>:/S/V.  Drive letter can
  793.           stand for "C" or "B" depending on whether you are
  794.           reformatting a [Hard] disk or not.  Finally you are ready
  795.           to attempt a reboot.
  796.  
  797.      D)   If you are still stuck, either employ some professional
  798.           computer repair person to fix your drive, or live with a
  799.           non-bootable [hard] drive.
  800.  
  801.  
  802. A few words of caution on prevention:
  803.  
  804. 1) Get the protection programs from a RELIABLE source.  Always ask
  805. about any unknown program - virus protection or otherwise - before
  806. downloading or running it. Know your source! Get it from SDN
  807. FidoNet nodes if they come thru SDN.
  808.  
  809. 2) Don't let down your guard!  Most virus protection programs
  810. intercept specific types of activities (disk writes,  for example)
  811. or specific viruses(such as Apple's VirusRX targeting the Scores
  812. virus). So USE A VIRAL CHECKER when running new BBS programs. Use
  813. **  VirusScan! **
  814.  
  815. 3) Make periodic file listings and compare them regularly to
  816. prior listings.  Look for unusual changes or unfamiliar files
  817. like Hidden or System files.  INVESTIGATE ANYTHING OUT OF THE
  818. ORDINARY! Is your system slowing down or failing all the time?
  819.  
  820. 4) BACKUP - BACKUP - BACKUP!  Keep current backups.  I know,  I
  821. know.  Everyone tells you even your mom (smile).  At least make
  822. regular copies of your most important databases and files and
  823. most importantly KEEP your OLD COPIES around a little longer
  824. just to be on the safe side.  I have a set devoted to strictly a
  825. MASTER BACKUP in case my systems current backup is bad.  Then all
  826. is not lost as I have a MASTER to put me back up.
  827.  
  828. 5) Don't run programs, that you got off a BBS, on your BOSS's
  829. machine! Use your own PC first. This could save you the
  830. embarrassment of facing his ugly mug (smile) and loosing your
  831. job. Many companies now have policies regarding this.
  832.  
  833. 6) Never run or access a diskette that might contain the SYSTEM
  834. files. These may be contaminated and could infect your system.
  835. Know your source! Same goes for the COMMAND.COM.
  836.  
  837. 7) USE WRITE PROTECT TABS! A virus can't infect something it
  838. can't write to. Use them they are the cheapest method of
  839. prevention.
  840.  
  841.   REMEMBER: The Best Defense is Good * BACKUP *
  842.  
  843.  
  844.   ---------------------------------------------------------------
  845.  |                       Update History:                         |
  846.   ---------------------------------------------------------------
  847.  
  848. Version 1.0a   The first list of The Guardian compiled from the
  849.                Dirty Dozen List and from the DIRTY_DOZEN echo
  850.                conference. The Guardian List will be distributed
  851.                thru FidoNet and LCRNET. It, unlike the Dirty
  852.                Dozen List, is comprised of only Trojans and
  853.                Viruses and is sent out more often than The Dirty
  854.                Dozen List. Added PK100.EXE, B30012A.ARC.
  855.  
  856. Version 1.0b  Added plug for SDNet/Works!, and a plug for
  857.               VirusScan utility. Added GRASPRT.EXE, KC-PAL.COM
  858.  
  859.  -----------------------------------------------------------------
  860.  |                           Glossary:                           |
  861.  -----------------------------------------------------------------
  862.  
  863.  
  864. I have intended this glossary for the beginning to intermediate   
  865. user; all experienced BBS users will be bored to death with this. 
  866.  
  867. ?Q?            --   (? standing for any character).  File
  868.                     extension for SQueezed files.  Squeezed files
  869.                     are unusable until unsqueezed by a utility
  870.                     such as NUSQ.COM or USQ.COM.  The advantage of
  871.                     a SQueezed file is that it is smaller than a
  872.                     regular UnSQueezed file, thus saving disk
  873.                     space and download time.  ARChives are more
  874.                     efficient than Squeezed files; that's why
  875.                     there are so many more ARChives on BBS's these
  876.                     days.  Example of the extensions of SQueezed
  877.                     files:  .EQE, .CQM, .LQR, .TQT, .DQC, etc.
  878. ABBRV          --   Abbreviation for the word: "abbreviation".
  879. ARC            --   File extension for an ARChive file -- many
  880.                     files combined together to save space and
  881.                     download time that require ARC.EXE,
  882.                     PKXARC.COM, ARCE.COM, or ARCLS.EXE to separate
  883.                     the files in to runnable and readable (in the
  884.                     case of text) form.
  885. BAS            --   Abbrv for "BASIC," as in the programming
  886.                     language.
  887. BBS            --   Abbrv for "Bulletin Board System".
  888. BBS's          --   Abbrv for "Bulletin Board Systems".
  889. BOARD          --   Also "Bulletin Board System".
  890. BOGUSWARE      --   Software that is damaging to one or more
  891.                     parties.
  892. BOOT or        --   To boot a computer is to restart it from
  893.  REBOOT             scratch, erasing all TSR programs.  One
  894.                     reboots by either powering off and then back
  895.                     on, or pressing ctrl-alt-del at the same time.
  896. BYTES          --   Bytes measure the length of a file, with one
  897.                     byte equaling one character in a file.
  898. CACHE [disk]   --   Area of memory set aside to hold recent data. 
  899.                     All programs then read recent data from that
  900.                     memory rather than from disk. CLUSTER -- a
  901.                     physical block on all [hard] disks, composed
  902.                     of sectors, that holds data.
  903. COM            --   File extension for a file that is executable
  904.                     from DOS level.
  905. DD             --   Abbrv for "dirty dozen".
  906. DOC            --   Abbrv for "documentation".
  907. EMS            --   Enhanced Memory Specification. An EMS card
  908.                     holds 2 MB extra memory.
  909. EXE            --   File extension for a file that is executable
  910.                     from DOS level.
  911. FIDONET        --   A network designed and created by Tom
  912.                     Jennings and his software. A TRADEMARK.
  913. HACKED         --   A program that has been changed in some way by
  914.                     another person or program.
  915. HIGH-LEVEL     --   This type of format is what most computer
  916.  FORMAT             users view as a regular DOS-format.  That is,
  917.                     formatting a disk using FORMAT.COM (included
  918.                     with DOS) is a high-level format.
  919. IBM            --   Abbrv for International Business Machines
  920. IBM OR COMP    --   IBM computer or a 99% or greater IBM
  921.                     Compatible computer.
  922. KB OR K        --   Abbrev for "KiloBytes," one Kb equals 1024
  923.                     bytes.
  924. LBR            --   Extension on Library files.  Library files are
  925.                     really many combined files like ARChives, but
  926.                     they require different utilities to extract
  927.                     the individual files. Some examples of such
  928.                     utilities are LUU.EXE, LUE.EXE, LAR.EXE, AND
  929.                     ZIP.EXE.  See "ARC".
  930. LOW-LEVEL      --   This type of format is only executed on a [Hard]
  931.  FORMAT             disk; therefore, most [Hard] disk low-level
  932.                     format programs come only with a [Hard] disk
  933.                     controller card.  There are a few PD low-level
  934.                     formatting packages, though.  Most
  935.                     manufacturers low level format their [Hard]
  936.                     drives at the factory.  Low level formatting
  937.                     is the first step in the three-part formatting
  938.                     process; the second step is to use FDISK, and
  939.                     the third is to execute a high-level format.
  940. MB             --   Abbrv for "Megabytes," or "millions of bytes."
  941. MISC           --   Abbrv for "miscellaneous".
  942. OPTIMIZE       --   To make all files on a disk "contiguous," or
  943.                     physically linked together on a [hard] drive.
  944. PAK            --   An alternate ARCer used in the BBS community.
  945. PATCH          --   A file that is patched (combined) into another
  946.                     file to change the original file in some way.
  947. PD             --   Abbrv for "Public Domain".
  948. PIRATED        --   An altered program that normally is sold but
  949.                     hacked to resemble a PD program.
  950. RAM            --   Abbrv for "Random Access Memory."  (memory
  951.                     used by software).
  952. RBBS           --   Abbrv for RBBS-PC, a type of BBS (Remote
  953.                     Bulletin Board System).
  954. ROM            --   Abbrv for "Read Only Memory" (memory used by
  955.                     hardware to boot).
  956. SDN            --   File extension used by SDNet/Works! to
  957.                     identify an SDNet/Works! published ShareWare
  958.                     files. These files are direct from the Author
  959.                     and should be Virus/Trojan free if obtained
  960.                     from a participating SDNetWorks! BBS.
  961. SDS            --   System Distribution System. A FidoNet
  962.                     subsystem that is used to distribute BBS
  963.                     software and utilities and newsletters.
  964. SYSOP          --   Abbrv for SYStem OPerator of a BBS.
  965. TROJAN         --   Program used to destroy or hamper a computer
  966.                     in some manner.
  967. TSR            --   Abbrv for "Terminate and Stay Resident";
  968.                     Synonym = "Memory Resident".
  969. TXT            --   Abbrv for "text".
  970. USU            --   Abbrv for "usually".
  971. UNP            --   Abbrv for "unprotect".
  972. UNPROTECT      --   An "unprotect file" is a patch file that
  973.                     results in the breaking of copy protection (no
  974.                     doubt for backup purposes).
  975. UTIL           --   Abbrv for "utility".
  976. VIRUS/WORM     --   The Ultimate Trojan! Designed to infect the
  977.                     computer system and to replicate itself to
  978.                     servive.
  979. ZIP            --   An alternate ARCer used by the BBS community.
  980. ZOO            --   All files compressed with ZOO.EXE bear this
  981.                     file extension.  ZOO-compressed files are NOT
  982.                     compatible with ARC.EXE.
  983.  
  984.  
  985.                         << End of file >>
  986.