home *** CD-ROM | disk | FTP | other *** search
/ Monster Media 1993 #2 / Image.iso / text / hack9306.zip / FILETSTS.ZIP / SCANV103.RES < prev   
Text File  |  1993-05-09  |  5KB  |  127 lines
  1.   =========================================================================
  2.                                     ||
  3.   From the files of The Hack Squad: ||  by Lee Jackson, Moderator, FidoNet
  4.                                     ||   Int'l Echos SHAREWRE & WARNINGS
  5.           The Hack Report           ||  Volume 2, Number 5
  6.          File Test Results          ||  Result Report Date: April 22, 1993
  7.                                     ||
  8.   =========================================================================
  9.  
  10.   *************************************************************************
  11.   *                                                                       *
  12.   *  The following test was performed by and the results are courtesy     *
  13.   *     of Jeff White and Bill Logan of the Pueblo Group in Tuscon,       *
  14.   *         Arizona.  Their assistance is greatly appreciated.            *
  15.   *                                                                       *
  16.   *************************************************************************
  17.  
  18. Date: 04-22-1993
  19. Time: 20:35
  20.  
  21. The Pueblo Group received the following file(s) for possible Virus/Troan
  22. Testing:
  23.  
  24. Suspected File: SCANV103.ARJ
  25.  
  26. Validation Results:
  27. ===================
  28.  
  29.     File Name: SCANV103.ARJ
  30.     File Size: 222,276
  31.     File Date: 4-8-1993
  32.        Check Method1 - 314F
  33.        Check Method2 - 1188
  34.  
  35. Contained within the SCANV103.ARJ archieve:
  36.  
  37.   File Name: README.1ST
  38.   File Size: 1,684
  39.   File Date: 4-8-1993
  40.      Check Method1: - 488E
  41.      Check Method2: - 0927
  42.  
  43.   File Name: SCANV103.CMX
  44.   File Size: 188,562
  45.   File Date: 4-7-1993
  46.      Check Method1: - BE66
  47.      Check Method2: - IE74
  48.  
  49.   File Name: INSTSCAN.COM
  50.   File Size: 2,532
  51.   File Date: 4-7-1993
  52.      Check Method1: - 989E
  53.      Check Method2: - 00FF
  54.  
  55.   File Name: VALIDATE.DAT
  56.   File Size: 28,959
  57.   File Date: 2-1-1993
  58.      Check Method1: - 4BC3
  59.      Check Method2: - 1718
  60.  
  61. Overview:
  62. ===========
  63. Upon close examination this file proved to be a compiled and pklited batch
  64. file. The author has used simple delete routines and a third party program
  65. to accomplish their trojan activity.  This is standard procedure among Trojan
  66. writers as it does not inolve a working knowledge of ASM.
  67.  
  68. This file contains nothing really new nor special.
  69.  
  70. Trojan Structure:
  71. ==================
  72. The program professes to be Scan from McAfee Associates and includes an
  73. installation program, which according to the doc is a new method from McAfee
  74. to thwart the growing Trojan activity. The Installation program, File Name:
  75. INSTSCAN.COM is the compiled Batch file. It calls the file: VAILDATE.DAT,
  76. which is actually renamed PKUNZIP 204G and renames it to "GETREADY.EXE".
  77. PKZUNZIP calls SCANV103.CMX, utilizing a password, extrapolates the file:
  78. Language.Doc and renames it to "BYEBYEHD.COM",  and copies it to the root
  79. directory. BYEBYEHD.COM is actually "NUKE.COM" a third party directory and
  80. sub directory kill utility
  81.  
  82. The program then searches for and deletes the following directories:
  83.  
  84. C:\DOS      (Default Operating System Directory)
  85. C:\ARCHIEVES    (Assumed Archiever Directory)
  86. C:\FD           (Front Door Directory)
  87. C:\RA           (Remote Access Directory)
  88. C:\SF           (SpitFire Directory)
  89. C:\WP           (Word Perfect Directory)
  90. C:\PCTOOLS      (Default PCTools Directory)
  91. C:\WINDOWS      (Default WIndows Directory)
  92.  
  93.  
  94. The screen will display a status report of what it is SUPPOSED to be doing.
  95. As it kills the directory it displays that it is decompressing a file from
  96. the
  97. SCAN103.CMX, then echoing the bytes it is supposed to contain and the
  98. comment,
  99. ---done!.
  100.  
  101. At the completion of the Trojan it echos:
  102.  
  103. DONE, and your HD is GONE! Hope you have a backup!
  104.  
  105.  
  106. Closing:
  107. ========
  108. As I stated, this is not a new concept.  Trojan programs are simple, and a
  109. high level language (ASM) is not required for a person to put one together.
  110. A basic knowledge of DOS and three commands, ECHO, DELETE and CHANGE
  111. DIRECTORY will accomplish whatever they intend to do. What disturbs me is
  112. the fact this originated in Tucson.
  113.  
  114. McAfee Associates were notified and they have skipped release number 103.
  115.  
  116. Bill Logan
  117. AntiVirus/Data Security
  118. Consultant
  119.  
  120. Licensed Agents for McAfee Associates                The Pueblo Group
  121. Licensed Agents for Integrity Master             AntiViral - Data Security
  122. Arizona Agents for PC-SENTRY-Security Sftwre          (602) 321-2075
  123. Member: NCSA (US)                                    Tucson, AZ   USA
  124.      [FidoNet: 1:300/22] [InterNet: blogan@solitud.fidonet.org]
  125.  
  126.  
  127.