home *** CD-ROM | disk | FTP | other *** search

---

/ Collection of Hack-Phreak Scene Programs / cleanhpvac.zip / cleanhpvac / CRYPT13.ZIP / CRPTLT.R13

< prev

next >

Wrap

Text File  |  1993-02-24  |  43KB  |  989 lines

---

1.  
2.       ▄▄▄ ▄▄▄▄▄▄▄▄   ▄▄▄ ▄▄▄▄▄▄    ▄▄       ▄▄   ▄▄▄ ▄▄▄▄▄    ▄▄▄▄▄▄▄ ▄▄▄▄▄
3.      █▒▒█ █▒▒▒▒▒▒▒█ █▒▒█ █▒▒▒▒▒█  █▒▒█     █▒▒█ █▒▒█ █▒▒▒▒█  █▒▒▒▒▒▒█ █▒▒▒▒█
4.      █▒▒█ ▀▀▀▀▀▀▀▀  █▒▒█ ▀▀▀▀█▒▒█  █▒▒█   █▒▒█  █▒▒█ ▀▀▀█▒▒█  ▀▀▀█▒▒█ ▀▀▀▀▀
5.      █▒▒█       █▒▒█ ▄▄▄▄█▒▒█   █▒▒█ █▒▒█   █▒▒█ ▄▄▄█▒▒█     █▒▒█
6.      █▒▒█       █▒▒█ █▒▒▒▒▒█     ▀▀ █▒▒█    █▒▒█ █▒▒▒▒█      █▒▒█
7.      █▒▒█       █▒▒█ ▀▀▀▀█▒▒█      █▒▒█     █▒▒█ ▀▀▀▀▀       █▒▒█
8.      █▒▒█ ▄▄▄▄▄▄▄▄  █▒▒█      █▒▒█     █▒▒█     █▒▒█         █▒▒█
9.      █▒▒█ █▒▒▒▒▒▒▒█ █▒▒█       █▒▒█    █▒▒█     █▒▒█         █▒▒█
10.       ▀▀▀ ▀▀▀▀▀▀▀▀   ▀▀▀    ▀▀      ▀▀       ▀▀▀          ▀▀
11.  
12.                  NEWSLETTER NUMBER 13
13.  
14.     ****************************************************************
15.     ******* Another festive, info-glutted, tongue-in-cheek training
16.     manual provided solely for the entertainment of the virus
17.     programmer, security specialist, casual home/business user or PC
18.     hobbyist interested in the particulars - technical or otherwise
19.     - of cybernetic data replication and/or mutilation. Jargon free,
20.             too.  EDITED BY URNST KOUCH, February - March 1993
21.                CRYPT INFOSYSTEMS BBS - 215.868.1823
22.     ****************************************************************
23.  
24.  
25.     TOP QUOTE:  ". . . in the end the perfumed and tailored yes men
26.     are as dangerous and evil as the bullies they serve."
27.                   -- Morley Safer
28.  
29.     IN THIS ISSUE:  News . . . Interview with Kim Clancy of the AIS
30.     BBS . .  Aristotle founds the Virginia Institute of Virus
31.     Research . . . Mark Ludwig's 1st International Virus Writing
32.     Contest . . . SUSAN virus . . .  VOOTIE virus:  a demo virus
33.     optimized for PRODIGY e-mail . . .  Lawrence Livermore Labs
34.     switches to puppet manufacturing after bottom falls out of
35.     thermonuclear weapons design . . . ViruDos: an April Fool's
36.     command shell . . . In the reading room with TIME and WIRED
37.     magazines . . . FLAGYLL virus . . . much more
38.  
39.  
40.     News: JAPS NOT PLAGUED MUCH BY VIRUSES: NUMBER OF REPORTED CASES
41.     TRIVIAL SEZ CRYPT NEWSLETTER
42.  
43.     Japan's Information Technology Promotion Agency says "computer
44.     damage" (?) caused by viruses amounted to 253 cases.  Agency
45.     bureaucrats attributed the surge in data vandalism, four-fold
46.     over 1991, to international exchange of software. That's it,
47.     blame the foreigners! Wooo.
48.  
49.     MAN PRANKS EX-WIFE WITH PC TROJAN, EX-WIFE SHOWS SKILLFUL USE OF
50.     LOCAL SHERIFF
51.  
52.     A Santa Rosa, CA., computer prankster has been stung by a felony
53.     tampering charge after admitting he sabotaged his ex-wife's
54.     computer files. If convicted, prankster James Welsh could be
55.     headed for a three year trip to the "bighouse."
56.  
57.     The 32-year-old James Welsh says he sent a disk with a "kamikaze
58.     program" to his ex-wife as vengeance for an unpleasant divorce.
59.  
60.     Welsh's former wife, Kathleen Shelton, had all her files erased
61.     when she used the booby-trapped program. The trojan left a
62.     taunting limerick as its calling card. Shelton said Welsh set up
63.     the system for her and she had [stupidly] continued to rely on
64.     him for help and advice.
65.  
66.     Welsh's defense will hinge upon the fact that he claims the
67.     trojan erased a program that he had pirated. Because it was a
68.     pirated "ware," "it [is] not protected under the state's
69.     anti-hacking law," he says. No news on how closely software
70.     engineers at CERT or the SPA will be watching this case.
71.  
72.     TOMORROW CANCELLED!  RUSTY & EDIE'S BUSTED FOR PIRACY,
73.     UNDERGROUND BBSer's SAY THEY HAD IT COMING, SUITS PLAY
74.     DUMB
75.  
76.     "No hassles. No rules!  Just a couple of burn-out hippies from
77.     the '60s . . ." were a number of the lines sysops Rusty & Edie
78.     used to describe themselves in various ads plugging the wonders
79.     of their BBS.  Now "First to try on the new felonization of
80.     piracy bill" can be added to the list.
81.  
82.     The FBI and SPA stormed the gates of the Boardman, Ohio,
83.     bulletin board system in early February, seizing equipment
84.     and accusing the operators of pirating software.  In what has
85.     become a standard statement whenever large pirate BBS's are
86.     raided, the Software Publishers Association, which worked with
87.     the FBI in investigating the case, said agents seized computers,
88.     hard disk drives and telecommunications equipment, as well as
89.     financial and subscriber records. ". . . following the receipt
90.     of complaints from a number of SPA members that their software
91.     was being illegally distributed on the Rusty & Edie's BBS" the
92.     trade group said that it began an investigation months earlier
93.     which included the download of retail programs from the BBS.
94.     The system, established in 1987 and described as the third
95.     largest BBS in the country in a glowing review which landed in
96.     the pages of Computer Shopper only days before the bust,
97.     maintained 124 nodes and more than 14,000 subscribers.
98.  
99.     For $89 a year, "subscribers . . .  were given access to the
100.     board's contents, including many popular copyrighted business
101.     and entertainment packages," droned the SPA statement.
102.  
103.     Alert Crypt Newsletter readers familiar with the issue of
104.     software piracy had a variety of responses to the news.  "Copy
105.     that floppy!" cried a subscriber in the northeast.  "I'm
106.     surprised it took so long," sneered another.  "I was going to
107.     join the week before the bust, but they were too expensive,"
108.     added a reader from the Midwest.  Jim O'Brien, the editor in
109.     charge of the section in Computer Shopper which ran the review
110.     of Rusty & Edie's claimed neither he nor free-lance writer
111.     Dennis Fowler had any inkling the BBS was allegedly involved in
112.     piracy.
113.  
114.     The FBI has not charged Russell and Edwinia Hardenburgh in the
115.     case.  The FBI has also been equivocal on whether it will extend
116.     its dragnet to include patrons of the system.
117.  
118.     And as of the last week in February the ACLU had thrown its hat
119.     into the ring on the side of the BBS, challenging the
120.     constitutionality of the raid on the grounds that the piracy
121.     charge should have been pursued in civil court.  ACLU Ohio
122.     legal director Kevin O'Neill conceded to the United Press
123.     International that the FBI's copyright infringement, uh, piracy,
124.     charges might have merit.
125.  
126.     HAND PUPPETS TO TEACH COURSE IN COMPUTER ETHICS (BUT WILL THEY
127.     BE ELIGIBLE TO JOIN THE UNION)?
128.  
129.     Still reeling from the double rabbit-punch of the end of the
130.     Cold War and a Democrat in The White House, which has seen their
131.     40-year pursuit of better ways to make thermonuclear explosives
132.     and X-ray pumped space weapons at the expense of the taxpayer
133.     thrown into disrepute, Lawrence Livermore Laboratory scientists
134.     are turning to puppetry as one way of justifying their continued
135.     funding.
136.  
137.     Livermore Computation Organization employees Lonnie Moore and
138.     Gale Warshawsky have developed a pilot puppet program to teach
139.     very young school children about computer ethics and security.
140.     The stars of the show cover two of the major computer
141.     stereotypes: Gooseberry, a stupidly trained computer operator,
142.     and Dirty Dan, a "hapless, heinous hacker," software pirate and
143.     virus spreader.
144.  
145.     In one skit, according to the Associated Press, Dirty Dan brings
146.     home a computer game obtained from a friend and ends up
147.     "feeding" Chip - the computer - a virus which "makes him dizzy."
148.  
149.     " . . . nobody out there is teaching ethics and security," said
150.     Moore on the reason for his program. The Crypt Newsletter
151.     adds, "Who's the leader of the gang that's made for YOU and ME?
152.     M - I - C, Kay - E - Why, M - O - U - S - E!!!"
153.  
154.  
155.      ──────────────────────────────────────────────────────────
156.        PROFILE: KIM CLANCY & THE AIS BBS - VIRUS CODE FOR ALL
157.      ──────────────────────────────────────────────────────────
158.  
159.     Here at the Crypt Newsletter, every time the editorial staff
160.     reads another piece of e-mail from the local FeebNets saying,
161.  
162.     "If you have virii on your board, soon 'The Feds [in blinking
163.     red]' will be giving you a call, so be carrefill [sic]."
164.  
165.                     or
166.  
167.     "Here in England, bobbies from Scotland Yard just confiscated
168.     Tinker Dill's Virus Happy Place in Squatney. It's a bloody
169.     shame. <RWG>"
170.  
171.     we have a good laugh.  And that's because the two cover a whole
172.     wealth of ignorance concerning possession of virus code.  The
173.     first is the handiwork of the 15-year old user thoroughly
174.     convinced that a US Robotics modem and 1 terabyte of anarchy
175.     texts makes him an expert on every legal and social aspect of
176.     cyberspace.  The second generally comes from users who take the
177.     popular press too seriously and have no qualms with authorities
178.     capable of routinely violating the rights of the helpless,
179.     unwitting or unpopular.
180.  
181.     It would be a rude shock to these people to know that the U.S.
182.     government runs a BBS which archives A LOT of well-commented
183.     virus source code that any taxpayer can access and leech until
184.     their diskettes are full.  Run by Bureau of The Public Dept.
185.     employee Kim Clancy, the BBS is called AIS and is the
186.     clearinghouse for a stockpile of information covering a variety
187.     of underground and aboveground computer security issues.
188.  
189.     "Our computers track the deficit.  That's job security," laughed
190.     Clancy in a recent interview.
191.  
192.     "The only thing we don't have is live viruses, but the source
193.     code's there - that's certainly not far from it," she said.
194.     "We've got the Virus Creation Laboratory, too."
195.  
196.     AIS was started about two years ago and has grown steadily
197.     since.  Membership currently exceeds 600.  It reached critical
198.     mass, Clancy said, when Computer Underground Digest interviewed
199.     her and profiled the system as a convenient place for the hacker
200.     underground and security-types to mingle.
201.  
202.     Much of AIS's material Clancy acquired on repeated jaunts to
203.     "underground" (man, do we hate that term) BBS's like Hell Pit
204.     and the now defunct Nun-Beaters Anonymous, both in the Chicago
205.     area.
206.  
207.     Needless to say, Clancy has maintained contact with a number of
208.     virus programmers, some of whom she says are her best technical
209.     advisors.  On one occasion, virus authors from NuKe and
210.     Phalcon/SKISM set up an early morning conference call with her,
211.     one which was monitored, she said, by the Secret Service.
212.     Later, said Clancy, an agent called her and warned her she
213.     shouldn't have made sport of a security "expert" in the military
214.     who was a user on AIS, something the agent could only have known
215.     as an eavesdropper.  Clancy shrugs this off as venal harassment
216.     and repeats the story when lecturing around the country.
217.  
218.     About the stock of virus code?  "I've had very few complaints,
219.     very little comment to me, directly," finished Clancy.
220.  
221.     The AIS sysop's philosophy seems to be one that encompasses the
222.     idea that if you want to know about something, you need to get
223.     your hands on it without interference.  Sounds dangerous!
224.  
225.     Give AIS and Kim Clancy a ring at 304.420.6083.
226.  
227.     ─┼──────────────────────────────────────────────────────────────┼
228.      │ARISTOTLE: "IT'S A GIANT PISSING CONTEST!" HE SEZ OF Vx/A-V   │
229.     ─┼──────────────────────────────────────────────────────────────┼
230.  
231.     "It's a giant pissing contest and the only guy getting hurt is
232.     John Q. Public!" quoth Aristotle in a recent interview concerning
233.     his decision to drop out as the dean of virus exchange BBS'ing.
234.  
235.     "As far as the anti-virus people go, 60% of the files on virus
236.     exchanges are 'goat files.' ["Goats" are the small host
237.     programs, usually bearing the identifier of an anti-virus
238.     developer, which researchers infect with a virus they wish to
239.     examine.] Now, you want to crash virus exchanges, make my
240.     collection illegal.  Well, you tell me how I got all these
241.     'goats!'
242.  
243.     "Everybody's talking shit," Aristotle continued, explaining that
244.     security people and anti-virus developers have agents on every
245.     virus exchange. The sysops think their systems are hard to
246.     penetrate, Aristotle claims, but the reality is just the
247.     opposite. The anti-virus developers get the newest viruses
248.     direct from the source, use them to fuel their advertising
249.     campaigns and trade viruses from their collections in return for
250.     continued access.  All the while, Aristotle says, there's little
251.     chance any of the new viruses will actually end up in the wild.
252.  
253.     "There's complete distrust, everyone in the [groups] is scared
254.     to death of each other."  Aristotle went on to explain a recent
255.     tiff with members of Phalcon/SKISM stemming from Kim Clancy's
256.     late night conference [see above] which had been monitored by
257.     the Secret Service.  Aristotle was party to the alliance call,
258.     too, and was painted as the "man on the inside," a Secret
259.     Service informer.  Untrue, Aristotle says, completely untrue.
260.  
261.     Aristotle is best known for his drive to sell viruses and source
262.     code in bulk, the entirety of "The Black Axis BBS" collection.
263.     There have been 40 takers, so far, Aristotle says. And they're
264.     not kids.  "You think a kid has the money?" he asked.  "Who do
265.     you think does? Haha."
266.  
267.     The virus sales paid for a course in computer information system
268.     management at William & Mary University, he said.  "My research
269.     was on viruses and the underground.  I got an A."
270.  
271.     Aristotle also maintained the VxNet, linking a number of virus
272.     exchanges and quasi-virus exchanges globally.  The Crypt
273.     Newsletter asked him what would become of it.
274.  
275.     "You want it?" he said with a laugh.
276.  
277.     While The Black Axis is gone, Aristotle has replaced it with the
278.     Virginia Institute of Virus Research in Newport News. No more
279.     handles, either, said John Buchanan.
280.  
281.     "My object was to bring all this out into the open.  I got the
282.     virus programmers to start arguing with the security people on
283.     the FidoNet," Buchanan concluded.  "I did that."
284.  
285.     IN THE READING ROOM:  TIME AND PUZZLEMENT - SUPERMARKET NEWS MAG
286.     MUGS "CYBERPUNK"; ALL HACKERS LOOK LIKE R. U. SIRIUS, DANCE TO
287.     HOUSE MUZIK, GOBBLE ECSTASY, QUOTE TIMOTHY LEARY, IT'S KEWL, MAN
288.  
289.     Buzzwords, like "cyberpunk," I've decided, are cruel pranks
290.     sickeningly ambitious writers at glossy magazines use to make
291.     themselves instant authorities. Media magnification always makes
292.     these terms legitimate, whether they are or not, so you know
293.     that while the TIME article on "cyberpunk" two weeks ago was
294.     pure baffle-crap (see, I can make my own buzzword, too), inside
295.     4 months it will have spawned 6 like-minded articles in other
296.     supermarket magazines, taking on a complete life of its own.
297.  
298.     So, I'm gonna rehash some of this nonsense now, in hope that you
299.     laugh, because if you don't, when you see it again as truth in
300.     the coming weeks, you just might have to cry.
301.  
302.     Didja know,
303.  
304.     that the computer virus is "the cybernetic analogue of AIDS," a
305.     disease which has affected millions worldwide and caused
306.     horrifying death and human suffering? According to Phil
307.     Elmer-Dewitt of TIME, it's so!
308.  
309.     Didja know,
310.  
311.     according to certified geezer Timothy Leary, "the PC is the LSD
312.     of the '90s"?  Like you, I thought this was a fatuous,
313.     self-serving statement. But then I thought about it some more
314.     and began to feel warm inside.  Since I missed LSD when it came
315.     around the first time, it felt good to know that I now had an
316.     unending supply of it sitting on my desk, just in case I felt
317.     the need to be "groovy."
318.  
319.     Didja know,
320.  
321.     that now "cyberpunks" don't look like young men with coke-bottle
322.     thick glasses and plastic pocket-protectors?  No, they look like
323.     young, less warty, versions of Tiny Tim (which is what R. U.
324.     Sirius looks like in the photo in TIME magazine).  It's true!
325.  
326.     Didja know,
327.  
328.     cyberpunks listen to "house" music, that "post-industrial,"
329.     droning, art-phag stuff that bands with names like Surgical
330.     Penis Klinik and Throbbing Gristle couldn't sell in the '80s
331.     because it was "too" alternative, but now it's big business
332.     because computer dudes and dudettes don't like those dead, fat
333.     guys in Lynyrd Skynyrd. Yup, it's true!  And boy am I bummed!
334.     What am I going to do with my Angry Samoans and Mentors records?
335.  
336.     Didja know,
337.  
338.     "without visual cues, people communicating on-line tend to
339.     flame: to state their views more heatedly than they would face
340.     to face?"  Visual cues-visual shmues - here I thought they did
341.     it because there was little chance they would get popped on the
342.     jaw for being a jerk.
343.  
344.     Didja know,
345.  
346.     the movie "Terminator 2"  was a cult film?
347.  
348.     Didja know,
349.  
350.     that TIME magazine used the same virtual illustration of
351.     "virtual reality d00d sucking the face off a virtual reality
352.     d00dette" as the movie "The Lawnmower Man," and the magazines
353.     OMNI, COMPUTE, PC Computing, Byte, MacWorld, Discover, Newsweek,
354.     Rolling Stone, SPIN, Science News, Playboy, Penthouse, Gent, USA
355.     Today, Details, MONDO 2000, Dog Fancy, Cat Fancy, Harpers, The
356.     Atlantic, etc., etc., etc.?
357.  
358.     Didja know,
359.  
360.     that the Electronic Frontier Foundation is a group that defends
361.     "exploratory hacking"?  Well, they didn't know and they seemed
362.     pissed in Computer Underground Digest when they found out.
363.  
364.     Didja know,
365.  
366.     that TIME magazine is now sold with samples of cheap men's
367.     cologne, along with ads for "Elvis not dead" books and chemicals
368.     which will chase away your male pattern baldness?  It's true!
369.  
370.     -----------------------------------------------------------------
371.  
372.                  W E L C O M E
373.  
374.                       T O
375.  
376.                      T H E
377.  
378.                    F I R S T
379.  
380.         * * * * * * * * * * * * * * * * * * * * * * * * * * * *
381.         *                             *
382.         *        I N T E R N A T I O N A L        *
383.         *                             *
384.         *            C O M P U T E R          *
385.         *                             *
386.         *               V I R U S             *
387.         *                             *
388.         *             W R I T I N G           *
389.         *                             *
390.         *             C O N T E S T           *
391.         *                             *
392.         * * * * * * * * * * * * * * * * * * * * * * * * * * * *
393.  
394.                  -  1 9 9 3 -
395.  
396.           Final Date For Submissions:  APRIL 1, 1993
397.  
398.  
399.              This Contest is Sponsored by:
400.  
401.                American Eagle Publications, Inc.
402.                 P. O. Box 41401
403.                   Tucson, AZ 85717 USA
404.  
405.          Publisher of The Little Black Book of Computer Viruses
406.  
407.         * * * * * * * * * * * * * * * * * * * * * * * * * * * *
408.         !  DISTRIBUTE THIS FILE ALL OVER THE KNOWN UNIVERSE   !
409.         * * * * * * * * * * * * * * * * * * * * * * * * * * * *
410.  
411.         Ok, all you genius hackers out there! Here is a challenge
412.     for you. Prove your stuff!
413.  
414.         This is an INTERNATIONAL contest, and this file is
415.     being circulated all over the world, so if you want to compete,
416.     be forewarned, you've got worldwide competition. Only the best
417.     have a chance in this game.
418.  
419.         Still up to the challenge?
420.  
421.         Ok, here it is:
422.  
423.         I am writing Volume 2 of The Little Black Book of Computer
424.     Viruses. This is a study of the scientific applications of
425.     computer viruses, and their use in artificial life research,
426.     and all of that neat stuff. One of the things I want to discuss
427.     in the book is the limit on the size of a virus for a given
428.     level of functionality. So I took the TIMID virus from Volume 1
429.     and tore it down to the bare minimum. Not good enough. I wrote
430.     a virus that worked a little differently. I tore that one down
431.     to the bare minimum. Good enough? Well maybe. But maybe not.
432.     I have some pretty compact code, but is it the absolute best?
433.     I'm guessing somebody out there can top it.
434.  
435.     Here are the rules:
436.  
437.        (1) The object of this game is to write the smallest
438.            virus you can with the required level of functionality.
439.  
440.        (2) The virus must be capable of infecting all COM files
441.            on the logged drive in the current directory of a PC,
442.            no matter how many COM files are there. It may infect
443.            them as quickly or as slowly as you like, so long as
444.            it can be demonstrated that it will do so in an hour,
445.            when running the programs in that directory one after
446.            the other in sequential order.
447.  
448.        (3) The virus must recognize itself and avoid re-infecting
449.            files that have been infected. At most, only one in
450.            fifty thousand files should get accidently re-infected,
451.            assuming that the data in unknown COM files is random.
452.  
453.        (4) The virus must terminate gracefully if it cannot find a
454.            file to infect.
455.  
456.        (5) The virus must not destroy any of the code in any file
457.            which it infects. It must allow that code to execute
458.            properly, or refuse to infect a file.
459.  
460.        (6) The virus must be self-contained. It cannot hide
461.            code in some common location on disk.
462.  
463.        (7) The virus must function properly under MS-DOS 5.0 with
464.            no TSR's resident, and nothing loaded high.
465.  
466.        (8) The size will be determined by the larger of (A) the
467.            number of bytes the virus code itself takes up in
468.            an infected file, and (B) the largest number of bytes
469.            the virus adds to a program when it infects it.
470.  
471.     The best code I have for a virus that follows these rules right
472.     now is 139 bytes long. Both source and executable are included
473.     in the ZIP, named LITTLE.ASM and LITTLE.COM.
474.  
475.     In the event of a tie for size, originality and ingenuity of
476.     the code will break the tie. All judges decisions are final.
477.  
478.     $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
479.  
480.     The winner will receive the following:
481.  
482.         (1) A $100 CASH REWARD.
483.  
484.         (2) Your code will be published in The Little Black Book
485.         of Computer Viruses, Volume 2.
486.  
487.         (3) I will give you credit for the code and for winning
488.         the International Virus Contest in the book, using
489.         either your real name or an alias, your choice,
490.         published in the book.
491.  
492.         (4) Your name will be posted on the MISS bulletin board
493.         as the contest winner.
494.  
495.         (5) A free copy of The Little Black Book of Computer
496.         Viruses, Volume 2, and a one year subscription to
497.         Computer Virus Developments Quarterly ($95 value).
498.  
499.     Three honorable mention winners will receive a free copy of
500.     The Little Black Book of Computer Viruses, Volume 2.
501.  
502.     $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
503.  
504.     You may make an entry in two ways:
505.  
506.     (1) Mail your entry on a PC format floppy disk to American Eagle
507.     Publications, Inc., PO Box 41401, Tucson, AZ 85717 USA.
508.  
509.     (2) Upload your entry to the M.I.S.S. bulletin board at
510.     (805)251-0564 in the USA. Log on as GUEST, password VIRUS,
511.     last 4 digits of phone number 0000, and upload to the CONTEST
512.     UPLOADS directory.
513.  
514.     A valid entry consists of the following items:
515.  
516.     (A) Complete source code for a virus, which can be assembled
517.     using either TASM, MASM, or A86. If you use another assembler
518.     and don't know if one of the above will work, then send the
519.     assembler along with the submission. If you do anything tricky
520.     that we may not understand, you must explain it in comments in
521.     the assembler source.
522.  
523.     (B) A statement of who you are (aliases accepted) and how to
524.     get in touch with you in case you win the contest. This
525.     information will be kept strictly confidential, and encrypted
526.     at all times.
527.  
528.     By submitting an entry to the contest, you agree that the
529.     copyright to your entry will be considered the property of
530.     American Eagle Publications. The copyright to any losing
531.     entry will be returned to the owner upon written request.
532.     In the event that you win or receive honorable mention in the
533.     contest, the copyright to the code will remain the property
534.     of American Eagle Publications, Inc.
535.  
536.     You may submit your entry encrypted with PGP 2.1 if you
537.     desire. Use the following public key to encrypt:
538.  
539.     -----BEGIN PGP PUBLIC KEY BLOCK-----
540.     Version: 2.1
541.  
542.     mQBNAitZ9w4AAAECAOXJYOsJNavAAWFBRwf4/u0QWMJ9IHj8eajgOfDRdlCNwEBJ
543.     wMs1vb5GcdJCaeoCgBR3Xxzh6oEo2nrwfru8mqMABRG0CE1BTHVkd2ln
544.     =P6d4
545.     -----END PGP PUBLIC KEY BLOCK-----
546.  
547.     Go to it!
548.  
549.     +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
550.  
551.                D O N ' T   M I S S   O U T  ! ! !
552.  
553.                    Get Your Very Own
554.  
555.             International Virus Writing Contest 1993
556.  
557.                     T-SHIRT
558.  
559.      Great fun to wear to your local user's group meeting, or the
560.      next computer security conference you attend. Sure to get
561.      people's attention and initiate lots of interesting
562.      conversation. Specify Small, Medium, or Large.
563.  
564.                    Only $9.95
565.  
566.                       from
567.  
568.                American Eagle Publications, Inc.
569.                  P.O. Box 41401
570.                 Tucson, AZ 85717
571.  
572.         (US Customers please add $3.00 for UPS delivery)
573.        (Overseas customers please add $7.50 for airmail delivery)
574.        (Overseas customers please add $3.00 for surface delivery)
575.              (AZ residents add 5% sales tax)
576.  
577.     +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
578.  
579.     American Eagle Publications, Inc., gives you first class
580.     information to learn the ins and outs of viruses. You may
581.     order any of the following items from American Eagle
582.     Publications, PO Box 41401, Tucson, AZ 85717. (Shipping is $2.00
583.     to the US, $7.50 for overseas airmail.) AZ residents add 5%
584.     sales tax.
585.  
586.     The Little Black Book of Computer Viruses, Volume 1,
587.     by Mark Ludwig. This award-winning book will teach you the
588.     basics of how viruses work in no-nonsense terms. 192 pp.,
589.     $14.95.
590.  
591.     The Little Black Book of Computer Viruses Program Disk. All
592.     of the programs in the book, both source code and executables,
593.     $15.00.
594.  
595.     Computer Virus Developments Quarterly, This takes up where the
596.     Little Black Book leaves off, providing the reader with
597.     quarterly updates on viruses and anti-virus  technology.
598.     For the advanced security specialist or programmer. One year
599.     subscription with diskettes, $75.00 postpaid, overseas airmail
600.     add $10.00.
601.  
602.     Computer Virus Developments Quarterly, current single issue,
603.     $25.00. (Please inquire as to price and availability of back
604.     issues.)
605.  
606.     Technical Note #1: The Pakistani Brain Virus, a complete
607.     disassembly and explanation. This is one of the first boot
608.     sector viruses ever written, and the first stealth boot sector
609.     virus. It hides on floppy disks and inserts the label (c) Brain
610.     on the disk. 32 page booklet and diskette with assembler source
611.     and compiled virus, $20.00.
612.  
613.     Technical Note #2: The Stoned Virus, a complete disassembly and
614.     explanation. The Stoned is the world's most successful boot
615.     sector virus. It infects floppy disks and hard disks. Find out
616.     what makes it tick. 24 page booklet and diskette with assembler
617.     source, compiled virus, and detection tool, $20.00.
618.  
619.     Technical Note #3: The Jerusalem Virus, a complete disassembly
620.     and explanation. Jerusalem is an old but highly effective virus
621.     which hides in memory, and infects every program you try to
622.     execute. It starts deleting programs on Friday the 13th. Booklet
623.     and diskette with assembler source and compiled virus, $20.00.
624.  
625.     Technical Note #4: How to Write Protect an MFM Hard Disk. The
626.     only hard-and-fast way to stop viruses from spreading is to
627.     physically write-protect your disk. This tech note tells you how
628.     to do it for the older MFM style drives. Some companies
629.     sell such devices for hundreds of dollars, but this booklet
630.     will tell you how to do the job for under $20. Complete with
631.     theory, circuit diagrams, and a circuit board layout. No
632.     diskette, $12.00.
633.  
634.     How to Become a Virus Expert, a 60 minute audio tape by author
635.     Mark Ludwig tells you how to get hold of the critical information
636.     you need to protect your computers, and stop relying on some anti-
637.     virus product developer to spoon-feed you. $10.00.
638.  
639.     Wanted: Translators for these works in all languages and outlets
640.     for these works in all countries. An opportunity for big $$ awaits
641.     the enterprising person. Please contact us.
642.  
643.     ================================================================
644.  
645.     No Virus Contest is complete without POLITICAL COMMENT:
646.  
647.     Freedom is only free if it is VOLUNTARY. If you live in a
648.     "democratic" nation that will not allow secession, then you DO
649.     NOT live in a free country. The democracies of this world are
650.     learning how to become tyrannies. Support a Secession Amendment
651.     for your constitution, before it is too late and you wish you
652.     had. Secession is the only logical way to short-circuit the trend
653.     toward big government and tyranny, short of all-out civil war.
654.                       -- Mark Ludwig
655.           ================================================
656.  
657.     CRYPT NEWSLETTER GIVES YOU A FIGHTING CHANCE IF YOU HOSE
658.     YOURSELF WITH A "TYPICAL" MEMORY RESIDENT VIRUS
659.  
660.     Ever wish the "suit" computer magazines supplied something more
661.     useful than utilities to "beep the speaker" or "turn OFF that
662.     pesky numLock light?" Well, Hell has a better chance of freezing
663.     over before that happens. But we're not like that here at the
664.     Newsletter! NosirreeBob!  We've got a batch file, yes a "batch
665.     file" for you - absolutely free, which in most cases will allow
666.     you to remove any generic resident virus from the command processor
667.     and start the machine from a clean memory slate.
668.  
669.     Add it to the VERY BEGINNING of your AUTOEXEC.BAT.  Then, create
670.     a directory called SAVE and:
671.  
672.         copy COMMAND.COM C:\SAVE\WHATMEWO.RRY
673.         copy C:\DOS\FC.EXE C:\SAVE\HELL.NO
674.         copy C:\DOS\FIND.EXE C:\SAVE\HELL.YES
675.  
676.     Then add the 17-byte utility, REBOOT.COM (included in
677.     this issue), to your SAVE directory and rename a copy of it
678.     as GREET.OOT in the same directory.
679.  
680.     @ECHO OFF
681.     ECHO -=SANDOZ-KOUCH=- ANTI-VIRUS BATCH FILE! WOO-WOO!!
682.     PAUSE
683.     SET HOME=C:\COMMAND.COM
684.     SET SAFE=C:\SAVE\WHATMEWO.RRY
685.     SET LOC1=C:\CARBUNKL
686.     SET LOC2=C:\FESTER
687.     IF EXIST %LOC2% DEL %LOC2%
688.     FC %HOME% %SAFE% | FIND "FC: no differences encountered" > %LOC1%
689.     COPY %LOC1% %LOC2%
690.     DEL %LOC1%
691.     COPY %LOC2% %LOC1%
692.     IF EXIST %LOC2% DEL %LOC2%
693.     IF EXIST %LOC1% GOTO END
694.     GOTO VIRUS
695.  
696.     :VIRUS
697.     ECHO COMMAND.COM could be fouled by a virus!
698.     ECHO Hit CTRL-C TO STOP MACHINE NOW . . . or
699.     ECHO to refresh the file and purge memory, just
700.     PAUSE
701.     GOTO REFRESH
702.  
703.  
704.     :REFRESH
705.     CD \SAVE
706.     COPY WHATMEWO.RRY C:\COMMAND.COM
707.     COPY HELL.NO C:\DOS\FC.EXE
708.     COPY HELL.YES C:\DOS\FIND.EXE
709.     REBOOT
710.  
711.     :END
712.     IF EXIST %LOC1% DEL %LOC1%
713.     SET HOME=
714.     SET SAFE=
715.     SET LOC1=
716.     SET LOC2=
717.     CD \SAVE
718.     COPY GREET.OOT REBOOT.COM
719.     -----the rest of whatever you're doing----
720.  
721.     What this batch job does is set up a back-up archive of your
722.     command processor in the SAVE directory, along with the
723.     executables called by the program.  If FC detects any
724.     differences between the back-up and your command processor, the
725.     pipe through FIND creates a 0 byte file which can't be copied.
726.     The batch file traps the "nocopy" result, assumes COMMAND.COM is
727.     fouled, restores it and promptly reboots the machine.  Typical
728.     memory resident viruses can easily infect the files used during the
729.     batch, which is why we restore them just before rebooting, too.
730.     Essentially, the Victor Charlie anti-virus program uses much of
731.     this methodology, only it costs you $50.
732.  
733.     This batch file will uncover marginal or "semi-stealth" viruses
734.     which infect COMMAND.COM.  Most of these spoof the file
735.     size change as reported by the DIR command through Interrupt 21
736.     (that is they simply subtract their size from the amount
737.     reported before DIR presents it to the user). FC will detect them
738.     since it is not dependent upon these functions.  For example,
739.     the HITLER virus (from Newsletter 11) the PC BYTE BANDIT and
740.     ARCV's SCROLL, all marginal stealth, are detected and removed from
741.     COMMAND.COM by the batch file.
742.  
743.     A few points to keep in mind: viruses which parasitize
744.     COMMAND.COM can cause it to fail or its functions to become
745.     slightly deranged.  The LITTLE virus, included in this issue,
746.     messes up COMMAND.COM just enough to prevent the SET commands
747.     from working, although the machine will boot properly.  This
748.     causes the batch file to fail - a quite noticeable occurrence. In
749.     the real world, you should be suspicious when this happens.
750.  
751.     Also, some resident infecter are ill-mannered.  The MULE
752.     variant of Jerusalem will cause boot failure if it gets into
753.     COMMAND.COM - another quite noticeable gaff.  The Scroll and
754.     PC Byte Bandit - as well as a number of other memory resident
755.     viruses - attempt to infect batch files as they are executed.
756.     Both attach themselves to the Newsletter batch file.  In
757.     this case, the batch file will remove them from COMMAND.COM and
758.     reboot the machine anyway, although you will get a number of
759.     "bad command" messages as DOS tries to read the binary
760.     gibberish which is the virus attached to the end of the
761.     file.  If this happens to you, restore the file.
762.  
763.     What this file won't do:
764.  
765.     It won't protect you from an overwriting virus, like VOOTIE (in
766.     this issue).  VOOTIE is a dumb virus and it will immediately
767.     cause boot failure if it gets into the root directory.  You will
768.     notice this problem.  It will also not protect your
769.     command processor from full stealth viruses and it will NOT
770.     protect your machine from multi-partite or partition sector
771.     infecting viruses. It can also be defeated by viruses which
772.     infect the target executable on copy.  In our estimation, this
773.     isn't common enough for you to worry about.
774.  
775.     None of this will protect you from a virus infection that has
776.     crawled all over your hard disk before it gets into the command
777.     processor.  (Also keep in mind, that some viruses will SHUN your
778.     command processor.) If this file reports a virus and reboots your
779.     machine, it's a smart move to stop the load of your AUTOEXEC.BAT
780.     with a judicious "Control-C" as soon as the "-=Sandoz-Kouch=-"
781.     banner reappears and the program pauses.  At this point, you
782.     stand a good chance of being able to examine your machine more
783.     closely without a virus in memory to worry you. At the very
784.     least, you get a good warning.
785.  
786.     Like features of the hated Victor Charlie 5.0 anti-virus
787.     program, you can expand the batch file to restore any of the
788.     programs called in your old AUTOEXEC.BAT.  In fact, this isn't
789.     a bad feature to add to the REFRESH segment of the code.
790.     Do it yourself if you like.
791.  
792.     ---------------------------------------------------------------
793.     VOOTIE VIRUS: SMALL ENOUGH FOR PRODIGY E-MAIL; OW VIRUS, EVEN
794.     BETTER
795.     ---------------------------------------------------------------
796.  
797.     Recently, PRODIGY, the interactive information service for
798.     numerous mixed-up Democrat, Bush-voting yuppies, liberalized its
799.     policies as to what users can and can't discuss on its public
800.     message base forums.  Formerly, the service exercised
801.     rigid editorial control over these,  enlisting wannabe
802.     busy-body's with the aid of a "fink" switch, which anyone
803.     could use to flame and squeal anonymously on the electronic
804.     scribblings of others.
805.  
806.     Although, the "fink" switch is still in operation, users are no
807.     longer routinely spiked for posting "help me's" on how to attain
808.     live viruses or source code.
809.  
810.     For Newsletter readers who are also PRODIGY members, the VOOTIE
811.     virus is small enough to fit into the 6-panel PRODIGY e-mail
812.     format as source code or a DEBUG script.  So when someone asks
813.     for a virus on PRODIGY, you can swiftly send VOOTIE as a simple
814.     example. The rationale is similar to the one which sent the TINY
815.     virus to interested parties on the FidoNet a couple of years
816.     ago.
817.  
818.     VOOTIE is merely an overwriting virus; a younger, smaller
819.     brother to POPOOLAR SCIENCE included in issue 12. It is, in
820.     essence, merely a small fragment of runaway code. Such programs
821.     are called "virons," whatever that is, in the VSUM database.
822.     If you MUST have a term, use "viroid." "Viroid" is a real
823.     world scientific label used to characterize very small, extremely
824.     simple natural viruses. "Viron" is anti-virus jargon; "viroid" is
825.     more scientific, more accurate. And hep, too. Use it and leave
826.     your listeners flabbergasted on the next user group lecture stop.
827.  
828.     VOOTIE overwrites everything in the current directory by
829.     printing itself on top of its targets.  Infected .COMfiles can
830.     spread VOOTIE, as can .EXE's, if under 65k in size.  Data is
831.     mutilated. VOOTIE will make a disk unbootable if it enters the
832.     root directory.  VOOTIE infected files are ruined as usable
833.     programs, you must delete them. Infected files can be identified
834.     by the time/date stamp which is updated to mark the time of
835.     infection.  A file viewer can spot the name VOOTIE, in weird ASCII,
836.     near the end of the virus in infected or mutilated files.  In
837.     addition, the OW virus by the TridenT group, a smaller 42-byte
838.     overwriting program, is included in this issue for comparative
839.     purposes.
840.  
841.     ---------------------------------------------------------------
842.     SUSAN AND FLAGYLL VIRUSES: RESIDENT, OVERWRITING PROGRAMS
843.  
844.     The SUSAN virus, an interesting program created by Night
845.     Breeze, is included in this issue as a source listing.
846.     The programmer has tied the viruses infection cycle into the
847.     DIR function so that it infects only the first .EXEfile in the
848.     current directory.  Since SUSAN is in overwriting virus, it
849.     naturally destroys its host files. This would be devastating
850.     if the virus infected a fresh .EXE in the current directory
851.     every time the user typed DIR.  However, by limiting the virus to
852.     one file, Night Breeze has kept it from being too disruptive.
853.     In addition, it spoofs the user with a "Bad command or file
854.     name" error message when an infected file is loaded.
855.  
856.     SUSAN also keeps a count of infections and begins deleting files
857.     when conditions outlined in the source code are met.
858.  
859.     You can compare SUSAN to the FLAGYLL virus, another memory
860.     resident infecter which overwrites .EXEfiles on load. If you try
861.     FLAGYLL out, you'll see it's immediately noticeable, ruining
862.     every .EXE that attempts to run.  SUSAN would be similar if it
863.     was not restricted to one file per directory.  FLAGYLL-Z governs
864.     its destructive infections by relying on a value returned from the
865.     system clock to determine when it will infect. This trigger is
866.     noted in FLAGYLL-Z's source code and can be easily tweaked to
867.     see how the virus's behaviour is altered.
868.  
869.     Excutables infected by either the SUSAN or FLAGYLL viruses are
870.     permanently ruined.  To remove the viruses from the system, reboot
871.     the machine and delete the infected files.  All of the viruses can
872.     be found by searching for the embedded text strings noted in their
873.     respective source codes.
874.  
875.     VIRUDOS:  A PRACTICAL JOKE COMMAND SHELL
876.  
877.     Also included in this issue is ViruDos. ViruDos is a simple
878.     command shell which can be inserted into the AUTOEXEC.BAT.  It
879.     is harmless, but the colorful "Bartles & Jaymes" virus which
880.     afflicts the user is a laff riot at computer shows
881.     and parties.  To tell more would spoil the fun.  Read the
882.     accompanying documentation and fire it up.  ViruDos's
883.     programmers "Thank you for your support."
884.  
885.     ----------------------------------------------------------------
886.     FICTUAL FACT/FACTUAL FICTION:  DARK COFFIN BLASTED BY FLIP VIRUS
887.     ----------------------------------------------------------------
888.  
889.     For most of the month of February the Dark Coffin virus exchange
890.     has been off-line due to a close look at the business end of the
891.     FLIP virus.  Sysop Pallbearer is slowly salvaging his data and
892.     promises to be answering the phone by the time you read this.
893.  
894.  
895.     The March issue of PC Magazine sports am exceedingly smelly
896.     product review of a fistful and anti-virus software packages.
897.     In what has become known informally as a "done deal," Central
898.     Point Anti-virus and Norton Anti-virus took home top honors,
899.     beating out performers like F-Prot, Leprechaun Software's Virus
900.     Buster and the Solomon Anti-virus Toolkit.  The Toolkit and
901.     Virus-Buster both took hits for their user interfaces, which
902.     apparently weren't attractive enough for PC Mag's team of rogue
903.     reviewers. It is unfortunate that computer viruses, as a rule,
904.     remain unimpressed by various elaborate menuing schemes leading
905.     to the question, "Who, exactly, was the testing aimed at?"
906.     Advertisers or customers.  The alert Crypt Newsletter reader
907.     already knows the answer, as we suspect, so do the losers in
908.     this runoff.
909.  
910.     The product reviewers warned of new bugaboos like "stealth"
911.     viruses and the "Virus Construction [sic] Laboratory."  And
912.     we were surprised to learn that companion/spawning viruses are now
913.     classified as "stealth" - because they create "hidden" files.
914.     Don't tell that to our copy of DOSSHELL which lists them very
915.     nicely alongside every other program on our machine!
916.  
917.     In summation, once again consumer reporting takes it on the chin
918.     at the hands of "suit computer mag" reporters who should NOT
919.     forgive their parents for imposing the heavy burden of fetal
920.     alcohol syndrome upon them.
921.  
922.     ----------------------------------------------------------------
923.     Thanks and a tip o' the hat for this issue go out to alert
924.     readers Mr. Badger, Lookout Man, Cory Tucker and SandoZ.
925.     ----------------------------------------------------------------
926.  
927.      The Crypt Newsletter includes virus source code in each issue.
928.     If assembled, it will produce working copies of the viruses
929.     described.  In the hands of incompetents, irresponsibles and
930.     and even the experienced, these programs can mess up the software
931.     resources of any IBM-compatible PC - most times, irretrievably.
932.     Public knowledge that you possess such samples can make you
933.     unpopular - even shunned - in certain circles of your computer
934.     neighborhood, too.
935.  
936.     This copy of the Crypt Newsletter should contain the following
937.     files:
938.  
939.       CRPTLT.R13 - this electronic document
940.       VOOTIE.ASM - VOOTIE virus source listing
941.       OW.ASM - OW virus source listing
942.       SUSAN1.ASM - SUSAN virus source listing
943.       FLAGYLL.ASM - FLAGYLL virus source listing
944.       FLAGYLLZ.ASM - FLAGYLL-Z virus source listing
945.       LITTLE.ASM - LITTLE virus source listing
946.       VDOS.DOC - Documentation for ViruDos
947.       VIRUDOS.EXE - ViruDos joke command shell
948.       BARNJ.BSV - Bartles & Jaymes data file, must accompany
949.       VIRUDOS.EXE
950.       FLAGYLL & FLAGYLL-Z.SCR - Scriptfiles for FLAGYLL viruses
951.       SUSAN1.SCR - Scriptfile for SUSAN virus
952.       VOOTIE.SCR - Scriptfile for VOOTIE virus
953.       OW.SCR - Scriptfile for OW-42 virus
954.       MAKE.BAT - handy, dandy "maker" for programs in this issue
955.  
956.     To assemble the programs in this issue, just unzip all of them
957.     into the current directory, add the MS-DOS program DEBUG.EXE and
958.     type "MAKE" at the prompt.
959.  
960.  
961.  
962.     You can pick up the Crypt Newsletter at these fine BBS's, along with
963.     many other nifty, unique things.
964.  
965.  
966.     CRYPT INFOSYSTEMS   1-215-868-1823  Comment: Crypt Corporate East
967.  
968.  
969.     DARK COFFIN      1-215-966-3576  Comment: Crypt Corporate West
970.     THE HELL PIT          1-708-459-7267
971.     DRAGON'S DEN          1-215-882-1415
972.     RIPCO ][              1-312-528-5020
973.     AIS            1-304-420-6083
974.     CYBERNETIC VIOLENCE    1-514-425-4540
975.     VA. INSTITUTE OF VIRUS RESEARCH   1-804-599-4152
976.     UNPHAMILIAR TERRITORY    1-602-PRI-VATE
977.     THE OTHER SIDE      1-512-618-0154
978.     MICRO INFORMATION SYSTEMS SERVICES       1-805-251-0564
979.     REALM OF THE SHADOW           1-210-783-6526
980.     STAIRWAY TO HEAVEN             1-913-235-8936
981.     THE BIT BANK             1-215-966-3812
982.     CYGNUS-X                 1-215-791-2457
983.     CAUSTIC CONTAGION               1-817-776-9564
984.  
985.        The Crypt Newsletter staff welcomes your comments, anecdotes,
986.        thoughtful articles and hate mail. You can contact Urnst Kouch at
987.        Crypt BBS, CSERVE#:70743,1711 or Internet: 70743.1711@compuserve.com
988.  
989.