home *** CD-ROM | disk | FTP | other *** search
/ Shareware Overload / ShartewareOverload.cdr / utils / antivir1.zip / DD.8 < prev    next >
Text File  |  1988-02-21  |  76KB  |  1,454 lines

  1. ------------------------------------------------------------------
  2. |                                                                |
  3. |       THE DIRTY DOZEN -- An Uploaded Program Alert List        |
  4. |                                                                |
  5. ------------------------------------------------------------------
  6. |                                   Issue #8: February 21, 1988  |
  7. |                                                                |
  8. |                                       Revision stage 'A'       |
  9. |                                                                |
  10. |   Maintained by Eric Newhouse                                  |
  11. |   Originally by Tom Neff                                       |
  12. ------------------------------------------------------------------
  13.  
  14.  
  15.  Recently, many unlawfully copied or modified programs have
  16. appeared on various IBM bulletin boards across the country.
  17. THE DIRTY DOZEN lists known examples.
  18.  
  19.  The author takes no responsibility for the validity or
  20. completeness of this list.  Many sources contribute to the list,
  21. and it is very possible that one of the reported 'dirty' files
  22. works perfectly and is in the Public Domain.
  23.  
  24.  Also, users upload bad software to bulletin boards daily, and
  25. often times that bad software is not yet in this list.  In other
  26. words, if you run a trojan horse that is not listed in here,
  27. please don't call my board to complain; rather, leave me a message
  28. so that I can place the destructive program in the next issue.  If
  29. you are unsure whether a file is trojan, and it's not listed in
  30. here, then I recommend using a utility like BOMBSQAD.COM to
  31. prevent any mishaps.  Bombsqad, available on my board, catches
  32. most trojan horses before they can damage your equipment.
  33.  
  34.  There are five major categories of bad software: commercial
  35. pirate jobs, unauthorized copies of otherwise legitimate freeware
  36. programs, malicious "TROJAN" programs which damage your system,
  37. "VIRII," which damage your and your friends' systems, and
  38. miscellaneous illegal software.  Please look in the definitions
  39. section of this document for a more detailed explanation of these
  40. terms.
  41.  
  42.  SysOps: Please be careful with the files you post in your
  43. download libraries!  A professional quality program should arouse
  44. your suspicions, especially if it doesn't include the author's
  45. name, address, and distribution policy.  Such programs are
  46. probably NOT public domain!  The BBS community is already under
  47. legislative threat at the State and Federal level.  We cannot
  48. fight this trend effectively while our directories sit stocked
  49. with cracked games, virii, and malicious "trojan horses!"  Let's
  50. demonstrate a little social responsibility by cleaning up our
  51. download libraries.  If you as a SysOp have any of these files on
  52. your system, please delete them and post "blocking" dummy file
  53. entries like this one:
  54.  
  55.  
  56.         ZAXXON.COM        DELETED!! NOT PUBLIC DOMAIN!!
  57.                            
  58.  
  59.  By working together to fight this new brand of software,
  60. perhaps we can eliminate BBS pirates, trojan horse writers,
  61. and legislation aimed at regulating BBS's.
  62.    
  63.  The "Dirty Dozen" aims to bring this important issue to the
  64. attention of more SysOps and users - to act as an information
  65. "clearing-house" for the latest known examples of "bogusware."
  66. Using information gleaned from the Dirty Dozen, an educated public
  67. can fight effectively for safe downloadable files.
  68.      
  69.  The Dirty Dozen needs your help to succeed!  Please call in any
  70. updates of bad software that you know of, but DO NOT modify this
  71. article yourself.  If everyone who discovers a pirated program
  72. starts modifying the DD, there would be hundreds of issues in
  73. circulation.  If you have an update, please see the end of this
  74. article for information on how to reach me with new information.
  75.  
  76.  In addition, I would like to publicly apologize to Mr. Gerhard
  77. Barth.  In previous issues, I criticized him for distributing a
  78. modified version of the dirty dozen.  Thanks to a few messages
  79. from Karl Brendel, I now know that Gerhard runs a fine well
  80. maintained bulletin board that maintains copies of the true dirty
  81. dozen.  Gerhard, I'm sorry for any hassles I may have caused you.
  82.  
  83.  One can be sure of only one thing about hard disks, and that is
  84. that they will crash.  Often times a user will blame a program for
  85. a hard disk failure when in fact his problem lies in his/her
  86. hardware.  Remember, a Trojan rumor is much easier to START than
  87. it is to STOP.  Some people have accused legitimate *joke*
  88. programs, such as DRAIN.COM (which pretends to be gurgling excess
  89. water out of your A drive) of erasing their hard drive.  If a
  90. program locks up your system, it isn't necessarily Trojan; it
  91. might not like co-residing with your graphics card or some TSR's.
  92. Ask other users about the program in question before you dennounce
  93. it as Trojan.  Run the program again (on your empty drive) to
  94. confirm its malicious intent.  In short, make 100% sure that the
  95. program is trojan before ruining the author's reputation.  Also, I
  96. would appreciate a bagged specimen of any real Trojan program that
  97. you might have the (un)luck to find.
  98.  
  99.  A user of mine has notified me that some pirates have patched
  100. HARDHAT.COM and PANGO.COM to read "cracked by Eric Newhouse."
  101. This is ridiculous!  Please disregard any programs that you may
  102. come across in the future advertising "copy protection busted by
  103. Eric Newhouse."  Pirates are simply trying to discourage me
  104. from publishing this list.
  105.  
  106.  Recently someone asked me why pirates don't rename commercial
  107. files inorder to fool SysOps.  They do!  For example, AUTODEX
  108. circulates under many different names.  Although I will try to
  109. keep all of these names current in the DD, the best way to check
  110. for piracy in a file is to run that file yourself.  Check for
  111. (C)opyright notices of commercial manufactures, similarities in
  112. the cosmetics and operations of commercial programs, and of course
  113. whether the name or filesize is in this list.
  114.  
  115.   Finally I want to thank all BBS SysOps and users that have sent
  116. me updates, additions, and/or corrections to DIRTYDOZ.007.  It's
  117. great to see so much support!  In this issue more people than ever
  118. called in with updates.  Everyone else who reads this list, along
  119. with myself, really appreciates the effort!
  120.  
  121.  
  122.  
  123. DEFINITIONS:
  124.  
  125.  
  126.     *VIRUS*   (V)   BEWARE!!  Especially prevalent in universities
  127.                    and corporal computers, computer virii can wreak
  128.                    havoc.  They, like biological virii, attack
  129.                    slowly, originating on one computer and
  130.                    proliferating with time.  Virii infect a
  131.                    portion of a computer, usually the operating
  132.                    system.  Most virii modify floppy disks
  133.                    (that may or may not be transported to other
  134.                    computers), adding diabolical code that
  135.                    instruct other computers to replicate the virii
  136.                    for still more computers.  In other words, the
  137.                    floppies become virii themselves; they can be
  138.                    passed around to other people to create more
  139.                    virii.
  140.  
  141.                     Virii can be programmed to sit dormant for
  142.                    months before acting, just like some biological
  143.                    virii (AIDS comes to mind).  Users can
  144.                    unwittingly replicate a virus many times.  If
  145.                    people know how to spot virii, however, they
  146.                    can usually prevent damage.
  147.                    
  148.                     Virii generally add their code to COMMAND.COM,
  149.                    IBMBIO.COM, or IBMSYS.COM.  These three files,
  150.                    which DOS places on every system disk, are the
  151.                    only files copied to other disks and run on
  152.                    other machines often enough to do any damage.
  153.                    If you see the filesizes on these files change,
  154.                    beware a virus!
  155.  
  156.                     Your computer provides a small line of defense
  157.                    against Virii already!  IBMBIO.COM and
  158.                    IBMSYS.COM are READ-ONLY files; that is, only a
  159.                    very sophisticated virus can add code to them.
  160.                    COMMAND.COM, however, is NOT read only.
  161.                    Therefore, I advise that EVERYONE make their
  162.                    COMMAND.COM read-only using a utility program
  163.                    such as FILEATTR.COM (available on my board in
  164.                    ARC format), or PC-Tools.  This will give
  165.                    COMMAND.COM some basic protection, and since
  166.                    few people ever write to their command
  167.                    processor, this process should not cause any
  168.                    undue hassles.  Keep in mind, though, that if
  169.                    you ever want to upgrade your version of DOS
  170.                    you will have to change COMMAND.COM back to a
  171.                    regular (not read-only) file.
  172.  
  173.                     For further information on Virii, everyone may
  174.                    download VIRUS.ARC from my board.
  175.  
  176.  
  177.  
  178.     *TROJAN*  (T)   These programs PURPOSEFULLY damage a user's
  179.                    system upon their invokation.  They almost
  180.                    always will shoot to disable hard disks,
  181.                    although they can destroy other equipment too.
  182.                    It is IMPERATIVE that you let me know about any
  183.                    new examples of these that you find.
  184.  
  185.                     There are more than one way a TROJAN can
  186.                    disable your hard disk.  For a comprehensive
  187.                    list of examples, please skip to "What to do if
  188.                    you run a trojan horse" later in this document.
  189.  
  190.     HACKED    (H)   An unlawfully modified copy of an otherwise
  191.                    legitimate public domain or user-supported
  192.                    program.  It is illegal to distribute a
  193.                    modified copy of someone else's work without
  194.                    their permission!  All modified programs must
  195.                    contain this permission, either in the
  196.                    program's display or documentation.
  197.  
  198.     *CAUTION* (C)   Programs labeled in this manner may or may not
  199.                    be trojans; the question is unresolved.  Use
  200.                    caution when running these programs!
  201.  
  202.     PIRATED   (P)   This is an illegal copy of a commercial,
  203.                    copyrighted program.  Examples: a cracked
  204.                    (de-protected) game, a compiler, editor or
  205.                    other utility, or a Beta test copy of a program
  206.                    under development.  In the latter case, the
  207.                    program in question may never make it to market
  208.                    due to the piracy!  In the case of games,
  209.                    there's a tendency for the pirate to patch a
  210.                    clumsy "PUBLIC DOMAIN" notice over top of the
  211.                    original copyright.  ZAXXON.COM is a prime
  212.                    example.
  213.  
  214.     MISC      (M)   This is miscellaneous illegal software and/or
  215.                    text.  The best definition, aside from that,
  216.                    that I can think of is that it's NOT pirated
  217.                    software.
  218.  
  219.  
  220. NOTE: If I do not supply a file extension, that means that the
  221. file circulates under many different extensions.  For instance,
  222. users commonly upload with extensions of either:  .EXE, .COM,
  223. .EQE, .CQM, .LBR, .LQR, and .ARC.
  224.  
  225.  
  226. ------------------------------------------------------------------
  227. |                             VIRII                              |
  228. ------------------------------------------------------------------
  229.  
  230.  
  231. Name          Size Category  Notes
  232. ------------- ------  -  -----------------------------------------
  233.  
  234. ????????.???  ??????  V   There is a virus that was circulating
  235.                          around Bitnet in December that advertises
  236.                          "great Christmas graphics;" in fact the
  237.                          program replicates as many copies of
  238.                          itself as it can, tying up large systems
  239.                          (ie. Bitnet).
  240.  
  241. *.EXE, *.COM   ANY    V   Any of your executable files may
  242.                          contain a virus in it.  Don't Panic,
  243.                          though; this virus is detectable!  If you
  244.                          have an infected file, it will increase
  245.                          the size of all other .EXE files run
  246.                          thereafter by 1808 bytes and all .COM
  247.                          files by 1813 bytes upon invocation.
  248.  
  249.                           Now you know how to recognize this
  250.                          virus.  Be sure to look out for it,
  251.                          because the symptoms it creates are very
  252.                          nasty.  The virus increases the size
  253.                          of .EXE files repeatedly - not just once.
  254.                          While this is a boon in recognizing the
  255.                          virus, it also means that eventually all
  256.                          affected .EXE files will become to large
  257.                          to fit in memory.  The virus also slows
  258.                          down computers by as much as 500% after
  259.                          it has spread.  Watch for this symptom!
  260.                          Perhaps most deadly, on any Friday the
  261.                          13th, this virus will erase AT LEAST all
  262.                          .EXE and .COM files that you run, and AT
  263.                          WORST your whole disk.  The next Friday
  264.                          the 13th is May 13, 1988.
  265.  
  266. COMMAND.COM    ?????  V   This is a traditional Virus.  Originating
  267.                          in colleges and universities accross the
  268.                          nation, this virus will embed itself in
  269.                          COMMAND.COM.  Once there it will copy
  270.                          itself onto FOUR floppies before
  271.                          scrambling your FAT and initiating a
  272.                          format.  Beware!  In one known instance,
  273.                          the virus does NOT change the filesize
  274.                          of COMMAND.COM, but it does change
  275.                          the date.
  276.  
  277. QMDM31B.ARC   ??????  V   The latest official release of Qmodem,
  278.                          as of this writing, is 3.1a.  This
  279.                          version, which is less than 1 KB bigger
  280.                          than the Archive for 3.1a, will add 17
  281.                          bytes to your IBMBIO.COM file.  Beware;
  282.                          while I don't know how this virus works,
  283.                          I do know that there's NEVER any reason
  284.                          to add 17 bytes to IBMBIO.COM.
  285.                            Note: IBMBIO.COM is a READONLY file.
  286.                          In other words, here is the first trojan
  287.                          that can write past a "write protect;"
  288.                          this virus acts when it theoretically
  289.                          shouldn't be able to.
  290.  
  291. ------------------------------------------------------------------
  292. |                        TROJAN HORSE PROGRAMS:                  |
  293. ------------------------------------------------------------------
  294.  
  295.  
  296. Name          Size Category  Notes
  297. ------------- ------  -  -----------------------------------------
  298.  
  299. 123JOKE               T   This so-called utility for Lotus 123
  300.                          rewrites [hard] disk directories.
  301.  
  302. ANTI-PCB              T   The story behind this trojan horse is
  303.                          sickening.  Apparently one RBBS-PC sysop
  304.                          and one PC-BOARD sysop started feuding
  305.                          about which BBS system is better, and in
  306.                          the end the PC-BOARD sysop wrote a trojan
  307.                          and uploaded it to the rbbs SysOp under
  308.                          ANTI-PCB.COM.  Of course the RBBS-PC
  309.                          SysOp ran it, and that led to quite a few
  310.                          accusations and a big mess in general.
  311.                          Let's grow up!  Every SysOp has the right
  312.                          to run the type of BBS that they please,
  313.                          and the fact that a SysOp actually wrote
  314.                          a trojan intended for another simply
  315.                          blows my mind.
  316.  
  317. ALTCTRL.ARC           T   This program reputedly trashes boot
  318.                          records.  Other than that, I know nothing
  319.                          about it.
  320.  
  321. ARC513.EXE            T   This hacked version of SEA's ARC.EXE
  322.                          appears normal.  However, it writes
  323.                          over track 0 of your [hard] disk upon
  324.                          usage, destroying the disk's boot sector.
  325.  
  326. ARC514.COM            T   This is completely similar to arc
  327.                          version 5.13 in that it will overwrite
  328.                          track 0 (boot sector) of your hard disk.
  329.                          Also, I have yet to see an .EXE version
  330.                          of this program..
  331.  
  332. BACKALLY.COM   64512  T   This sophisticated trojan will axe your
  333.                          FAT table after a couple of months of
  334.                          usage.  Beware the delayed trojan!
  335.                          Backally MAY only work on floppy disks,
  336.                          but that sounds unlikely.  Debug has
  337.                          shown that BACKALLY formats a track at
  338.                          one point as well as reading in the
  339.                          amount of freespace on your disk.  It may
  340.                          only wipe out full disks, like NOTROJ.
  341.                          Please, be wary!  An included .BAT file
  342.                          comes with a request for donations to
  343.                          "SomeWare" located in Frederickburg, VA.
  344.                          Look out for other products from
  345.                          SomeWare!
  346.  
  347. BACKTALK              T   This once beneficial utility will
  348.                          write/destroy sectors on your [hard] disk
  349.                          drive.  Use this with caution if you
  350.                          acquire it, because it's more than likely
  351.                          that you got a bad copy.
  352.  
  353. CDIR.COM              T   This program supposedly gives you a
  354.                          color directory of files on disk, but it
  355.                          in fact scrambles your disks FAT
  356.                          table.
  357.  
  358. COMPRESS.ARC          T   This trojan, dated April 1, 1987,
  359.                          destroys FAT tables.  COMPRESS is
  360.                          executed from a file named RUN-ME.BAT and
  361.                          is advertised as a 'Shareware 'ARC' from
  362.                          Borland!'
  363.  
  364. DANCERS.BAS           T   This trojan shows some animated dancers
  365.                          in color, and then proceeds to wipe out
  366.                          your [hard] disk's FAT table.  There is
  367.                          another perfectly good copy of
  368.                          DANCERS.BAS on BBS's around the country;
  369.                          apparently the author altered a
  370.                          legitimate program to do his dirty work.
  371.  
  372. DEFENDER.ARC          T   This trojan both writes to ROM bios and
  373.                          formats [hard] disks.  The Duplicators
  374.                          claim credit for this trojan; be ware of
  375.                          other products by them.  Also, do not
  376.                          confuse this trojan with DEFENDER by
  377.                          Atari.  The latter is a pirated program.
  378.  
  379. DISCACHE.EXE          T   This program uses direct BIOS routines
  380.                          to write to disk.  Apparently, those BIOS
  381.                          routines will scramble your FAT table.
  382.                          Please see DISCACHE.WNG, a file that I'm
  383.                          looking for myself, for more information.
  384.  
  385. DISKSCAN.EXE          T   This was a PC Magazine program to scan a
  386.                          [hard] disk for bad sectors, but then a
  387.                          joker edited it to WRITE bad sectors.
  388.                          Also look for this under other names such
  389.                          as SCANBAD.EXE and BADDISK.EXE...
  390.  
  391. DMASTER               T   This is yet another FAT scrambler..
  392.  
  393. DOSKNOWS.EXE          T   I'm still tracking this one down --
  394.                          apparently someone wrote a FAT killer and
  395.                          renamed it DOSKNOWS.EXE, so it would be
  396.                          confused with the real, harmless DOSKNOWS
  397.                          system-status utility.  I'm pretty sure
  398.                          that sure is that the REAL DOSKNOWS.EXE
  399.                          is 5376 bytes long.  If you see something
  400.                          called DOSKNOWS that isn't close to that
  401.                          size, sound the alarm.  More info on this
  402.                          one is welcomed -- a bagged specimen
  403.                          especially.  The malicious DOSKNOWS
  404.                          contains the string "Ouch!  Dos refused
  405.                          to tell me! Sob, sob, sob."
  406.  
  407. DPROTECT              T   Apparently someone tampered with the
  408.                          original, legitimate version of DPROTECT
  409.                          and turned it into a FAT table eater.
  410.  
  411. DROID.EXE     54272   T   This trojan appears under the guise of a
  412.                          game.  You are supposably an architech
  413.                          that controls futuristic droids in search
  414.                          of relics.  In fact, the program copies
  415.                          C:\PCBOARD\PCBOARD.DAT to
  416.                          C:\PCBOARD\HELP\HLPX if PC-Board SysOps
  417.                          run it from C:\PCBOARD
  418.                          
  419. EGABTR                T   BEWARE! Description says something like
  420.                          "improve your EGA display," but when run
  421.                          it deletes everything in sight and prints
  422.                          "Arf! Arf!  Got you!"
  423.  
  424. ELEVATOR.ARC          T   This poorly written trojan suggests in
  425.                          the documentation that you run it on a
  426.                          floppy.  If you do not run it on a
  427.                          floppy, Elevator chastises you for not
  428.                          reading the documentation.  Regardless of
  429.                          what disk you run it on, Elevator will
  430.                          erase your files.  It MAY format disks
  431.                          too; be careful.  One more interesting
  432.                          point to note: my name is plastered all
  433.                          over this program; the writers attempt to
  434.                          lay the blame for this trojan on me.
  435.  
  436. EMMCACHE  ????        C   This program is not exactly a trojan,
  437. V. 1.0                   but it may havethe capability of
  438.                          destroying hard disks by:
  439.                            A) Scrambling every file modified after
  440.                                running the program,
  441.                            B) Destroying boot sectors.
  442.                           This program has damaged at least two
  443.                           hard disks, yet there is a base of
  444.                           happily registered users.  Therefore, I
  445.                           advise extreme caution if you decide to
  446.                           use this program.
  447.  
  448. FILER.EXE             T   One SysOp complained a while ago that
  449.                          this program wiped out his 20 Megabyte
  450.                          HD.  I'm not so sure that he was correct
  451.                          and/or telling the truth any more.  I
  452.                          have personally tested an excellent file
  453.                          manager also named FILER.EXE, and it
  454.                          worked perfectly. Also, many other
  455.                          SysOp's have written to tell me that they
  456.                          have like me used a FILER.EXE with no
  457.                          problems.  If you get a program named
  458.                          FILER.EXE, it is probably allright, but
  459.                          better to test it first using some
  460.                          security measures.
  461.  
  462. FINANCE4.ARC  ??????  C   This program is not a verified trojan,
  463.                          but there is a file going around BBS's
  464.                          warning that it may be trojan.  In any
  465.                          case, execute extreme care with it.
  466.  
  467. FUTURE.BAS            T   This "program" starts out with a very
  468.                          nice color picture (of what I don't know)
  469.                          and then proceeds to tell you that you
  470.                          should be using your computer for better
  471.                          things than games and graphics.  After
  472.                          making that point it trashes your all of
  473.                          your disk drives, starting with disk A:.
  474.                          Not only does Future scramble FATs, but
  475.                          it also erases files.  As far as I know,
  476.                          however, it erases only one sub-directory
  477.                          tree level deep, thus hard disk users
  478.                          should only be seriously affected if they
  479.                          are in the "root" directory.  More
  480.                          information about this is especially
  481.                          welcome.
  482.                          
  483. MAP                   T   This is another trojan horse written by
  484.                          the infamous Dorn W. Stickle.  I believe
  485.                          that there are legitimate MAP.EXEs
  486.                          floating around.
  487.  
  488. NOTROJ.COM            T   This "program" is the most sophisticated
  489.                          trojan horse that I've seen to date.  All
  490.                          outward appearances indicate that the
  491.                          program is a useful utility used to FIGHT
  492.                          other trojan horses.  Actually, it is a
  493.                          time bomb that erases any hard disk FAT
  494.                          table that IT can find, and at the same
  495.                          time it warns: "another program is
  496.                          attempting a format, can't abort!"  After
  497.                          erasing the FAT(s), NOTROJ then proceeds
  498.                          to start a low level format.  One extra
  499.                          thing to note: NOTROJ only damages FULL
  500.                          hard drives; if a hard disk is under 50%
  501.                          filled, this program won't touch it!  If
  502.                          you are interested in reading a thorough
  503.                          report on NOTROJ.COM, James H. Coombes
  504.                          has written an excellent text file on the
  505.                          matter named NOTROJ.TXT.  If you have
  506.                          trouble finding it, you can get it from
  507.                          my board.
  508.  
  509. TIRED                 T   Another scramble the FAT trojan by Dorn
  510.                          W.  Stickle.
  511.  
  512. TSRMAP                T   This program does what it's supposed to
  513.                          do: give a map outlining the location (in
  514.                          RAM) of all TSR programs, but it also
  515.                          erases the boot sector of drive "C:".
  516.  
  517. PACKDIR               T   This utility is supposed to "pack" (sort
  518.                          and optimize) the files on a [hard] disk,
  519.                          but apparently it scrambles FAT tables.
  520.  
  521. PCLOCK                T   This program reputedly destroys FAT
  522.                          tables!  Be careful!  Also, please bear
  523.                          in mind that there are more than one
  524.                          PCLOCK programs in circulation, so please
  525.                          don't confuse the trojan program with a
  526.                          legitimate one.  Simply excercise EXTREME
  527.                          caution when running a NEW PCLOCK
  528.                          program.
  529.  
  530. PCW271xx.ARC          T   A modified version of the popular
  531.                          PC-WRITE word processor (v. 2.71) has now
  532.                          scrambled at least 10 FAT tables that I
  533.                          know of.  If you want to download
  534.                          version 2.71 of PC-WRITE be very careful!
  535.                          The bogus version can be identified by
  536.                          its size; it uses 98,274 bytes wheras the
  537.                          good version uses 98,644.  For reference,
  538.                          version 2.7 of PC-WRITE occupies 98,242
  539.                          bytes.
  540.  
  541. PKX35B35.EXE          T   As of this writing, Phil Katz (author of
  542.                           PKXARC) has verified that version 35A35
  543.                           is the latest version of his ARChive
  544.                           extractor.  This phony PKXARC scrambles
  545.                           FAT tables.
  546.  
  547. QUIKRBBS.COM          T   This Trojan horse claims that it can
  548.                          load RBBS-PC's message file into memory
  549.                          200% faster than normal.  What it really
  550.                          does is copy RBBS-PC.DEF into an ASCII
  551.                          file named HISCORES.DAT...
  552.  
  553. QUIKREF               T   Little is known about this trojan, other
  554.                          than it scrambles FATS
  555.                             
  556. RCKVIDEO              T   This is another trojan that does what
  557.                          it's supposed to do, then wipes out hard
  558.                          disks.  After showing some simple
  559.                          animation of a rock star ("Madonna," I
  560.                          think), the program erases every file it
  561.                          can lay it's hands on.  After about a
  562.                          minute of this, it will create 3 ascii
  563.                          files that say "You are stupid to
  564.                          download a video about rock stars," or
  565.                          something of the like.
  566.  
  567. SCRNSAVE.COM          C   I know nothing about this program, but a
  568.                          user of mine reports that it erases HD's.
  569.  
  570. SECRET.BAS            T   BEWARE!! This may be posted with a note
  571.                          saying it doesn't seem to work, and would
  572.                          someone please try it.  If you do try it,
  573.                          however, it will format your disks.
  574.  
  575. SEX-SNOW.ARC          T   This trojan deletes all of the files
  576.                          in your directory and creates a gloating
  577.                          message using those filenames.  Ugly.
  578.  
  579. SIDEWAYS.COM          T   Be careful with this trojan; there is a
  580.                          perfectly legitimate version of
  581.                          SIDEWAYS.EXE circulating. Both the trojan
  582.                          and the good SIDEWAYS advertise that they
  583.                          can print sideways, but SIDEWAYS.COM will
  584.                          trash a [hard] disk's boot sector
  585.                          instead.  The trojan .COM file is about 3
  586.                          KB, whereas the legitimate .EXE file is
  587.                          about 30 KB large.
  588.  
  589. STAR.EXE              T   Beware RBBS-PC SysOps!  This file puts
  590.                          some stars on the screen while copying
  591.                          RBBS-PC.DEF to another name that can be
  592.                          downloaded later!
  593.  
  594. STRIPES.EXE           T   Similar to STAR.EXE, this one draws an
  595.                          American flag (nice touch), while it's
  596.                          busy copying your RBBS-PC.DEF to another
  597.                          file (STRIPES.BQS) so Bozo can log in
  598.                          later, download STRIPES.BQS, and steal
  599.                          all your passwords.  Nice, huh!
  600.  
  601. SUG.ARC               T   Words can not express my feelings about
  602.                          this trojan.  SUG.ARC advertises that it
  603.                          can break SOFTGUARD copy protection, but
  604.                          upon invocation, it will scramble the
  605.                          FAT's on drive A, B, C, and onwards to
  606.                          your higest drive.  While this is
  607.                          certainly a nasty trojan, it is
  608.                          particularly repulsive because Softguard
  609.                          Corp, the creators of Softguard
  610.                          copy-protection, wrote it - perhaps in
  611.                          response to declining business.  They
  612.                          claim that anyone who runs SUG is
  613.                          breaking an original license agreement;
  614.                          therefore they may legally destroy data.
  615.                          I don't credit this, and neither does an
  616.                          attorney I know, so I eagerly anticipate
  617.                          Softguard's day in court.
  618.  
  619. TOPDOS                T   This is a simple high level [hard] disk
  620.                          formatter.  Do not confuse this with the
  621.                          pirated TOPDOS.COM.
  622.  
  623. VDIR.COM              T   This is a disk killer that Jerry
  624.                          Pournelle wrote about in BYTE Magazine.
  625.                          I have never seen it, but two users of
  626.                          mine have.
  627.  
  628. VISIWORD.ARC          C   A user of mine called this trojan in
  629.                          complaining that it destroyed his hard
  630.                          disk.  Other than that, I know nothing
  631.                          about this program.
  632.  
  633.  
  634. ------------------------------------------------------------------
  635. |                        HACKED PROGRAMS:                        |
  636. ------------------------------------------------------------------
  637. |                                                                |
  638. |             '*' = not verified by program's author             |
  639. |                                                                |
  640. ------------------------------------------------------------------
  641.  
  642.  
  643.  
  644. ARC.COM               H   Someone keeps running SPACEMAKER or a
  645.                          similar EXE squeezer on SEA, Inc.'s ARC
  646.                          archive program, then uploading the
  647.                          resulting COM file to BBS's without the
  648.                          author's permission.  SEA will NOT
  649.                          support the COM version, for they
  650.                          definately do not allow modifying ARC.EXE
  651.                          in their license agreement.
  652.  
  653. AUTOMAXX.ARC          C   This DOS menu-making program comes with
  654.                          documentation that Marshall Magee, author
  655.                          of the popular AUTOMENU program, contends
  656.                          is plagiarized.  Marshall believes that
  657.                          the AUTOMAXX documentation uses exact
  658.                          phrases from his documentation, and if
  659.                          this is the case, AUTOMAXX is clearly
  660.                          illegal.  However, as I understand it,
  661.                          the courts are currently deliberating on
  662.                          the case, so AUTOMAXX is not currently
  663.                          illegal. of today.  For more information,
  664.                          please contact Marshall Magee at (404)
  665.                          446-6611.
  666.  
  667. DOG101A.COM   *       C   This may be hacked; keep an eye out
  668.                          for it as well as DOG102A.COM.
  669.  
  670. DOG102A.COM   *       H   Apparently this is a renamed early
  671.                          version of DP102A.ARC, a disk optimizer.
  672.                          One person has reports that it trashes
  673.                          hard disks that use DOS 3.1 (2KB
  674.                          clusters).
  675.  
  676. LIST60                H   Vern Buerg's LIST 5.1, patched to read
  677.                          6.0.  Mr. Buerg has released a legitimate
  678.                          version 6.0 of LIST.  Every legit.
  679.                          version will have a letter in the
  680.                          filename (e.g. LIST60H.ARC)
  681.  
  682. LIST799               H   Vern Buerg's LIST 5.1, patched to read
  683.                          7.99.
  684.  
  685. QMDM110.ARC           H   This is version 1.09 of Qmodem patched
  686.                          to read 1.10.  There have been rumors of
  687.                          a worm in 1.10, but I have seen no
  688.                          evidence of it.  Other versions are OK.
  689.  
  690.  
  691. ------------------------------------------------------------------
  692. |                       PIRATED PROGRAMS:                        |
  693. |                                                                |
  694. |                                                                |
  695. | TYPES:                                                         |
  696. |       Game (G) -- Recreational Software, usually high Quality  |
  697. |       Util (U) -- a disk, screen, or general utility           |
  698. |       Misc (M) -- Miscellaneous (not a game or utility)        |
  699. ------------------------------------------------------------------
  700.  
  701.  
  702.  Note:  While close to 98%-99% of BBS's that I've seen do NOT
  703. distribute pirated files, the small minority that do slander the
  704. reputations of honest SysOp's nationwide.  Unfortunately, 1%-2% of
  705. thousands of BBS's is a sizable number.  Over the last couple of
  706. years this 1%-2% has distributed so many files that even the most
  707. conscientious SysOp can hardly hope to recognize all commercial
  708. software.
  709.  
  710.  You may ask: "How can we fight piracy, then?"
  711.  
  712.  SysOp's and users alike must search ALL programs for signals 
  713. that can reveal a program as commercial.  Look for Copyright
  714. signs.  Suspect good games with sparse if any documentation.  If
  715. you notice that a program is pirated, calmly inform your local
  716. SysOp's of the menace.  In order to beat piracy, we must
  717. communicate!
  718.  
  719. Name          Size Category  Notes
  720. ------------- ------  --  ----------------------------------------
  721.  
  722. 1DIR.COM              PU  "The ONE Dir": DOS shell.
  723. 21C.EXE               PG  Blackjack, copyright by IBM 
  724. ACUPAINT.ARC  148221  PM  PC Paint 
  725. AFOX.ARC              PG  Artic Fox by Electronic Arts
  726. ALLEYCAT.COM          PU  "Alley Cat" - CGA
  727. ALTEREGO.ARC  45????  PG  Alter Ego game from Activision
  728. ARCHON.COM            PG  Electronic Art's Archon.
  729. ARTOFWAR              PG  Ancient Art of War by Broderbund
  730. AUTODEX               PU  AUTODEX, file manager
  731. AXX.EXE               PU  Also AUTODEX
  732. B1-BOMB               PG  Avalon Hill's B1 Bomber
  733. BATTLE                PG  Battle Zone 
  734. BBCHESS               PG  Blues Box Chess
  735. BC-QUEST              PG  Bc's Quest for Tires
  736. BIGMAC.ARC            PU  Borland's Superkey
  737. BORDERZO.ARC  205824  PG  Infocom's Borderzone
  738. BORROWED.ARC          PG  Borrowed Time
  739. BRUCELEE              PG  Bruce Lee 
  740. BUCK                  PG  Buck Rogers on Planet Zoom
  741. BURGER                PG  Burgertime
  742. BUSHIDO               PG  Karate Game by a manufacturer in Canada.
  743. BUZZBAIT              PG  Buzzard Bait
  744. CALL2ARM              PG  Call to Arms
  745. CENTIPED              PG  Be careful with this one.  At least two
  746.                            other legitimate, PD copies of
  747.                            Centipede are in circulation.  The
  748.                            pirated one is supposedly PUBLIC DOMAIN
  749.                            BY ATARI.  Yeah, Right.
  750. CMASTER.ARC           PG  Chess Master 2000 by Electronic Arts
  751. COMMANDR.ARC          PG  Norton Commander
  752. COSMIC                PG  Cosmic Crusaders
  753. COPYRITE              PU  Quaid Software's COPYWRITE
  754. COPYWRIT              PU  Quaid Software's COPYWRITE again
  755. COSMIC                PG  Cosmic Crusaders again
  756. CROSFIRE.COM          PG  Crossfire
  757. CRUSH-CC.ARC          PG  Crush, Crumble & Chomp
  758. DAMBUST.ARC           PG  Dambusters by Accolade cracked
  759. DEB88.EXE             PM  DeSmet 'C' debugger
  760. DECATH                PG  Microsoft's Decathalon
  761. DEFENDER              PG  Defender, by Atari
  762. DIGDUG.COM            PG  Dig Dug, also by Atari
  763. DIGDUG.COM            PG  Dig Dug again
  764. DISKEX                PU  Quaid's Disk Explorer
  765. DOSHELP.EXE           PU  This is really Central Point
  766.                            Software's PC-tools.  One special note:
  767.                            poorly written documentation usually
  768.                            accompanies this file.  In the
  769.                            documentation ERIC HSU asks for a
  770.                            monetary contribution to his bbs.
  771.                            Well, It seems that this was a poor
  772.                            attempt to damage ERIC HSU's
  773.                            reputation; Eric is a legitimate SysOp
  774.                            in the Houston area.
  775. DOSMENU.ARC   208240  PU  INTECH'S DOSMENU - Opening screen says
  776.                            "PC DOS MENU SYSTEM 5.0." - (C) is on
  777.                            the bottom of the screen.
  778. DOSSHELL              PU  Autodex again
  779. DRL                   PG  Avalon Hill's "Dnieper River Line."
  780. DIPLOMCY              PG  Avalon Hill's "Computer Diplomacy" game.
  781. EGADIAG               PU  Quadram EGA (Quad EGA+) diagnostics.
  782. EINSTIME              PU  IBM internal utility
  783. EXPLORER.COM          PU  Quaid Disk Explorer again
  784. EVOLUTIO              PG  Evolution
  785. F15                   PG  F-15 Strike Eagle
  786. FALCON.ARC            PG  Falcon by Spectrum Holobyte - flight sim
  787. FIGHTER.ARC           PG  Sublogic's JET
  788. FILEEASE              PU  A File manager
  789. FILEMGR               PU  Filemanager by Lotus Devel. Corp.
  790. FILEMAN.COM    1????  PU  Also Filemanager
  791. FINDIT                PU  IBM internal 'locate a file' utility
  792. FSDEBUG               PU  IBM's Full Screen Debug program..
  793. GOLDCUP               PG  Gold Cup championship soccer
  794. GOLF21.ARC            PG  Golf's Best version 2.1
  795. GREMLINS.COM          PG  Gremlins 
  796. HARDHAT.COM           PG  Hard Hat Mack
  797. HIGHORBT              PG  High Orbit (like Star Wars)
  798. HOOP.COM              PG  One-on-1 by Electronic Arts
  799. ID                    PU  Persyst Ram disk software
  800. IBM21                 PG  21c again
  801. IKARI.ARC     210944  PG  Ikari Warriors - CGA/EGA, joystick reqd.
  802. IPLTIME.COM           PU  IBM Internal Clock utility
  803. JBIRD                 PG  Jbirds -- Q-bert Game
  804. JEOPARDY      195???  PG  Jeopardy, the game show.
  805. JET                   PG  Jet
  806. JETDRIVE.ARC          PU  Jet Drive -- copies files quickly
  807. JOUST                 PG  Joust.  There is a 6K, PD version
  808. KEYWORKS.ARC          PU  Keyworks macro program, usu. version 2.0
  809. KOBAYASH.ARC          PG  Star Trek -- The Kobayashi Alternative
  810. KONG                  PG  Donkey Kong
  811. LIGHTNIN              PU  Can be either the cache or spell checker
  812. MACE+                 PU  Paul Mace's MACE+ utilities
  813. MACROS                PU  Again Superkey - sometimes Prokey
  814. MEDMAG.COM            PU  Quaid Software's Media Magician
  815. MINER49R.ARC          PG  Miner '49er
  816. MISSLEC               PG  Missle command
  817. MONTYS.COM            PG  Montezuma's Revenge
  818. MOONBUGS              PG  Moon Bugs
  819. MS                    PU  IBM utility.
  820. MTS                   PU  IBM Multitasker like Double-Dos
  821. MULE                  PG  M.U.L.E -- players is on alien planet
  822. MULTASK               PU  MTS again
  823. MURDRBY#              PG  Murder by Numbers by Electroni Arts
  824. MUSICCON              PM  Music Construction Set, also by EA
  825. NFL.ARC               PG  Xor's NFL challenge.
  826. NGHTSTLK              PG  Night Stalker
  827. NICE                  PM  NicePrint - printer controller
  828. NODISK-A.COM          PU  Central Point software's Nokey
  829. NORTON.COM            PU  Peter Norton's Utilities
  830. ANORTON.ARC           PU  Peter Norton's Advanced Utilities
  831. NOVATRON              PU  Tron light cycles
  832. ONE-ON-1              PG  One-on-1 basketball game, again
  833. PATHMIND              PU  Pathminder, Dos Shell
  834. PC-POOL               PG  Pool 
  835. PC-TOOLS              PU  Central Point Software's PC-tools
  836. PCBOSS                PU  DOS shell
  837. PCED                  PU  Pro CED, DOS command line editor
  838. EII                   PU  IBM Personal Editor II
  839. PINCONST              PG  Pinball Construction Set by EA
  840. POOL.ARC              PG  PC-POOL again
  841. POPALARM.COM          PU  Part of POP DOS
  842. POPDOS.ARC            PU  TSR DOS utilities 
  843. PRIME                 PU  Columbia Data Co. hard disk utility.
  844. PROKEY                PU  Prokey macros program
  845. PROMPRPH              PG  Star Trek -- The Promethian Prophesy
  846. PSHIFT                PU  Memory Shift
  847. PSRD.ARC              PU  IBM utility (redirects PrtSc)
  848. QDOS                  PU  Quick DOS
  849. QUCKDOS               PU  Quick DOS
  850. QIX                   PG  Qix
  851. RACTER                PG  Racter
  852. RASTER-B              PG  Raster Blaster
  853. RE.ARC                PG  Romantic Encounters at the Dome
  854. RIGHTW                PU  Right Writer (writing style checker)
  855. ROBOTRON              PG  Robotron, hacked to read PUBLIC DOMAIN
  856.                            BY ATARI.  Do pirates have any
  857.                            imagination?
  858. ROGUE.EXE             PG  Game very similar to the PD: HACK.EXE
  859. ROMANTIC              PG  Romantic Encounters at the Dome, again
  860. SEADRAG.ARC           PG  Sea Dragon
  861. SEE                   PM  DeSmet editor
  862. SFX                   PU  Autodex (again!)
  863. SKYRUNER              PG  Sky Runner, $14.95 game.
  864. SM.COM                PU  Realia's Spacemaker utility.  .EXE->.COM
  865. SMAP                  PU  IBM Internal utility, with the copyright
  866.                             notice and real author's name replaced
  867.                             by "Dorn W. Stickle".
  868. SNIPER                PG  Sniper -- arcade action type game.
  869. SOLOFLT.ARC           PG  Solo Flight (by SSI?) cracked
  870. SPYHUNT               PG  Bally's Spy Hunter
  871. STARFLIT.ARC  30????  PG  Electronic Art's Star Flight 
  872. STARGATE.EXE   57???  PG  Hacked to say "PUBLIC DOMAIN BY ATARI,"
  873.                             but don't you believe it!  Be careful
  874.                             not to confuse this arcade game with
  875.                             the public domain STARGATE MERCHANT
  876.                             game, which is a little 12 KB BASIC
  877.                             program by G. E.  Wolfworth.
  878. STRIPKR               PG  Strip Poker by Artworx
  879. SUBCMDR.ARC           PG  Gato cracked: SUBCMDR.EXE & overlays
  880. SUPERCAD              PM  Easy CAD
  881. SUPERCAD.LQR  242660  PM  Easy CAD again.
  882. SUPERKEY              PM  Superkey again
  883. TEMPOFAP              PG  Temple of Apshai
  884. THEQUEST.BAS/EXE      PG  The Quest
  885. TIRES.EXE             PG  Bc's Quest for Tires again
  886. TREASURE              PG  Pirate's Treasure 
  887. TROJAN.ARC    304128  PG  Trojan - CGA/EGA, (C) 1987, like D&D.
  888. TWIN.ARC       22784  PU  Central Point's Copy II PC
  889. TWINCOPY.ARC   22784  PU  Also Copy II PC
  890. ULTIII        111616  PG  Origin's Ultima 3
  891. ULTIMA2.ARC    84992  PG  Origin's Ultima 2
  892. UTILITY               PU  Norton's Utilities Arced and with the
  893.                            file names changed.  When run, however,
  894.                            the programs display the copyright
  895.                            notice of Peter Norton.  Many other
  896.                            pirated utilities could also go under
  897.                            the name UTILITY.
  898. VOYAGERI              PG  Avalon-Hill Game
  899. VS                    PU  Also INTECH'S DOSMENU
  900. WCKARATE              PG  World Championship Karate by Epyx
  901. WG-BBALL              PG  World's Greatest Baseball Game by SSI
  902. WGAMES                PG  World Games by Epyx
  903. WOF.ARC               PG  Wheel of Fortune
  904. WORSTR                PU  Word Star
  905. XDIR                  PU  Pre-release version of DOS FILE TRACKER
  906. XTREE                 PU  DOS shell
  907. XTREE+                PU  Xtree Plus
  908. ZAXXON                PG  Hacked to say "PUBLIC DOMAIN BY SEGA."
  909.                            (sound familiar?)
  910.  
  911.  
  912. ------------------------------------------------------------------
  913. |                  MISCELLANEOUS ILLEGAL FILES:                  |
  914. |                                                                |
  915. |   TYPES:                                                       |
  916. |          Game  (G) -- Recreational software                    |
  917. |          Patch (P) -- Modification to another program usually  |
  918. |                       performed through debug.                 |
  919. |          Text  (T) -- Text / Documentation File                |
  920. |          Util  (U) -- Utility of some sort                     |
  921. ------------------------------------------------------------------
  922.  
  923. Name          Size Category  Notes
  924. ------------- ------  --  ----------------------------------------
  925.  
  926. COPYWRIT        2???  MP  Although the real COPYWRITE is going
  927.                           around Bulletin Boards like fire, there
  928.                           is another illegal file under the same
  929.                           name.  The former takes around 40 KB
  930.                           ARC-ed, whereas this takes about 2 KB.
  931.                           What I'm referring to is an archive of
  932.                           1-3 files that explains how to remove
  933.                           the serial numbers from copywrite. Now
  934.                           it's allright to "unprotect" a program
  935.                           for backup purposes, but removing serial
  936.                           numbers can only lead to piracy.
  937. LOCKPICK              MT  This is a text file, usually with a
  938.                           .TXT extension, that casually explains
  939.                           how to pick locks.  This is not 
  940.                           illegal, but it's definitely in
  941.                           poor taste.  It could be used as
  942.                           evidence against a burglar, though.
  943. MONEY.ARC             MT  This text file claims that with minimal
  944. MONEY.TXT  11648          effort YOU can become a millionaire.
  945.                           This text file, as some of you may know,
  946.                           is simply another chain (pyramid) letter
  947.                           that is of course illegal.  A pyramid
  948.                           writer sends a letter to four people
  949.                           requesting money.  Then, according to
  950.                           the pyramid writer's plan, those four
  951.                           will send letters to four more asking
  952.                           for money for themselves and the
  953.                           original writer.  Unfortunately when the
  954.                           chain breaks people lose money.  What
  955.                           one person gains someone else must lose.
  956.                           That's why this type of letter is
  957.                           illegal.
  958. MONOPOLY              MG  Finally I am SURE that this file
  959.                           violates Parker Brother's rights
  960.                           to the famous boardgame.  Don Gibson has
  961.                           agreed that monopoly should NOT be
  962.                           distributed anymore, so SysOps, please
  963.                           remove this file from your download
  964.                           directories.
  965. MOVBASIC or           MU  This highly illegal file breaks IBM's
  966.                           SBASICA or copyright on BASIC and
  967.                           BASICA.  It SBASIC creates new files
  968.                           called SBASIC or SBASICA that run "IBM
  969.                           BASIC" on an IBM clone.  C'mon, don't
  970.                           you think that these clones don't run
  971.                           IBM BASICA for a good reason?  The
  972.                           clones don't support BASICA because it's
  973.                           illegal!  This file comes with Alloy's
  974.                           PC-Slave card.  Alloy has a license
  975.                           agreement, and users of the PC-Slave are
  976.                           allowed to create copies of IBM BASIC
  977.                           for themselves.  NO ONE ELSE IS.  Stop
  978.                           complaining that this file is legal,
  979.                           people; this is one of the more blatent
  980.                           cases of piracy that I've seen.
  981. PCOTHELO.ARC         CMG  Based on the Monopoly case, I expect
  982.                           this is probably illegal too.  In fact,
  983.                           every copyrighted board game on BBS's
  984.                           is probably illegal.
  985. XTALK                 MP  Like Copywrite, there is a patch
  986.                           circulating BBS's to remove the serial
  987.                           numbers from Crosstalk.
  988.  
  989. ------------------------------------------------------------------
  990. |          Many thanks for updates to version 8.0 from:          |
  991. ------------------------------------------------------------------
  992. |                                                                |
  993. |          1.          John Abolins                              |
  994. |          2.          Randall Splinter                          |
  995. |          3.          Mike Topf                                 |
  996. |          4.          John White                                |
  997. |          5.          Gary Thomas                               |
  998. |          6.          Bob Ackerman                              |
  999. |          7.          Nich Sochs                                |
  1000. |          8.          Don Gibson                                |
  1001. |          9.          Russ Goodwin                              |
  1002. |         10.          You?                                      |
  1003. ------------------------------------------------------------------
  1004.  
  1005.  
  1006.  
  1007.  This is the end of the "bad files list."  The rest of this
  1008. document contains instructions on what to do if YOU run a trojan
  1009. horse, an update history, a glossary, and information on how and
  1010. where to contact me with updates.
  1011.  
  1012.  
  1013.  
  1014.  
  1015.  
  1016. ------------------------------------------------------------------
  1017. |                  If you run a trojan horse..                   |
  1018. ------------------------------------------------------------------
  1019.  
  1020.  
  1021.  While reading this, bear in mind that there is no better remedy
  1022. for a drive that has run a trojan horse than a recent backup..
  1023.  
  1024.  AARGH!  Perhaps your hard disk sounds like a sick moose.  Perhaps
  1025. your drive light starts flashing repeatedly, like a police car's
  1026. lights.  Perhaps your drive just sits in the computer, and the
  1027. computer doesn't acknowledge its presence.
  1028.  
  1029.  Having watched my drive crash many times, I can understand the
  1030. frustration you will feel after your hard disk conks out.  While a
  1031. faulty hard drive, disk controller, or cable can make these
  1032. ailments uncurable without spending a lot of money, usually you
  1033. CAN recover from a trojan horse with only investing a little time.
  1034.  
  1035.  After running a trojan horse, the first thing to do is calm down.
  1036. Face the situation stoicly; it may prevent your hair from turning
  1037. gray.  Diagnose the damage.  Was your [hard] drive formatted?
  1038. Did the trojan scramble your FAT table?  Did it erase every file?
  1039. Did it erase or format your [hard] drive's boot sector?  The odds
  1040. are that the trojan incurred one of these four disasters..  After
  1041. a successful diagnosis, you are ready to remedy the problem.
  1042.  
  1043.  
  1044.     1)   If the trojan low-level formatted your [hard] disk:
  1045.  
  1046.          Hope that you have a recent backup; that's the only remedy
  1047.         for this disease.
  1048.  
  1049.     2)   If the trojan high-level formatted your [hard] disk:
  1050.  
  1051.          About a year ago Paul Mace introduced a way to recover
  1052.         formatted data.  Unfortunately, most programs can only
  1053.         recover formatted data COMPLETELY if you run a "snapshot"
  1054.         program right before the format.  The reason: DOS
  1055.         fragments large files and without an accurate map of the
  1056.         formatted disk, unformatters have problems dealing with
  1057.         such files.  You will need one of these three programs to
  1058.         recover your disk if the trojan formatted it:
  1059.  
  1060.           1. PC-Tools (Central Point, $79.95 retail)
  1061.           2. Mace+ Utilities (Paul Mace $99.95 retail)
  1062.           3. Advanced Norton Utilities (Peter Norton, $150.00
  1063.               retail)
  1064.  
  1065.          There is at least one other program that can unformat
  1066.         disks, but the name of it is slipping my mind.  As of this
  1067.         printing, PC-Tools probably has the best unformatter.  It
  1068.         can reputedly reconstruct formatted disks regardless of
  1069.         the disks state of fragmentation.  PC-Tools may not be
  1070.         right for your other disk management needs, however, so
  1071.         you should talk to a salesmen about these products before
  1072.         making a purchase.
  1073.  
  1074.     3)   If the trojan scrambled your FAT table:
  1075.  
  1076.          Sector editors such as those included in the Norton
  1077.         Utililites, PC-Tools, and a host of other popular utility
  1078.         packages (not Mace+) allow experienced users to piece
  1079.         their FAT backtogether from Gibberish.  This avenue of
  1080.         recovery is only open to extremely proficient users,
  1081.         however.  Everyone else, including myself, must rely on a
  1082.         FAT backup program to provide a feeling of security.
  1083.         FATBACK.COM (available on my board) will back up your FAT
  1084.         table in under a minute to floppy.  FATBACK makes FAT
  1085.         backup easy and non time consuming.
  1086.  
  1087.     4)  If the trojan erased file(s), and the FAT table is
  1088.         undamaged:
  1089.  
  1090.          There are many commercial and public domain packages
  1091.         available that undelete deleted files.  Norton Utilities,
  1092.         PC-Tools, MACE+, and UNDEL.COM will all do the job.  The
  1093.         commercial products are all more reliable in undeleting,
  1094.         but they are also more expensive that the Public-Domain
  1095.         UNDEL.  Always undelete your most recent files first; that
  1096.         is, undelete files in the order of last time written to
  1097.         disk.  I know that PC-Tools automatically lists
  1098.         undeletable files in the correct order, but the other
  1099.         three may not.
  1100.  
  1101.     5)  If the boot sector on your hard disk gets
  1102.         erased/formatted:
  1103.  
  1104.          There are four things to do if this happens, and the
  1105.         worst that can happen is that you will go without a hard
  1106.         disk for a while.  Backup before proceeding with any of
  1107.         the steps here, for you may have to destroy some files to
  1108.         restore your hard disk to boot status.
  1109.  
  1110.           A)   Try doing a "SYS C:" (or "SYS A:") from your
  1111.               original DOS disk. Then copy COMMAND.COM back onto
  1112.               the hard drive.  If your hard drive still won't boot
  1113.               then try step B.
  1114.  
  1115.           B)   If you have the MACE+ utilities go to the "other
  1116.               utilities" section and "restore boot sector."  This
  1117.               should do the job if you have been using MACE+
  1118.               correctly.
  1119.  
  1120.           C)   If you are still stuck, BACK EVERYTHING UP and
  1121.               proceed to do a low level format.  Instructions on
  1122.               how to perform a low-level format should come with
  1123.               your hard disk controller card.  Be sure to map out
  1124.               bad sectors using either SCAV.COM by Chris Dunford
  1125.               or by manually entering the locations of bad sectors
  1126.               into the low level format program.  After the low
  1127.               level format run FDISK.COM (it comes with DOS) to
  1128.               create a DOS partition.  Refer to your DOS manual
  1129.               for help in using FDISK.  Then put your original DOS
  1130.               diskette in drive A: and type FORMAT <drive
  1131.               letter>:/S/V.  <Drive letter> represents the letter
  1132.               of the disk you are formatting.  Try rebooting
  1133.               again.
  1134.  
  1135.           D)   If you are still stuck, either employ some
  1136.               professional computer repairmen to fix your drive,
  1137.               or live with a non-bootable hard drive..
  1138.  
  1139.  
  1140.  
  1141. ------------------------------------------------------------------
  1142. |                        Update History:                         |
  1143. ------------------------------------------------------------------
  1144.  
  1145.     Version 1.0    Tom Neff enters a dozen "bad" files in the
  1146.                   initial "dirty dozen."
  1147.  
  1148.     Version 2.0    Sees the addition of a short introduction and 3
  1149.                   more files.  Again, I play no role in this
  1150.                   version.
  1151.  
  1152.     Version 3.0    I write version 3.0.  Tom Neff appears to have
  1153.                   lost interest in the DDoz, so I take over.  I
  1154.                   add 22 files and completely rewrite the
  1155.                   introduction.  Version 3.0 has a total of 37
  1156.                   files.
  1157.  
  1158.     Version 4.0    I add another 30 or so files to the list,
  1159.                   making the DDoz 65+ files strong, as well as
  1160.                   adding a few paragraphs to the introduction.
  1161.  
  1162.     Version 5.0    By the time I release version 5.0 to the
  1163.                   public, the Dirty Dozen is being greeted
  1164.                   favorably and with enthusiasm around the
  1165.                   country.  Updates start coming in with
  1166.                   regularity; the list prospers (if one can say
  1167.                   that about a list!).  I add a few more
  1168.                   paragraphs to the introduction and about 40 new
  1169.                   files bringing the file total up to 103!
  1170.  
  1171.     Version 6.0    The Dirty Dozen is now such a big project that
  1172.                   I am now writing it in stages.  Although I am
  1173.                   going to make absolutely no effort to spread
  1174.                   these "intermediate versions," they will always
  1175.                   be downloadable from my board.  This way
  1176.                   everyone can keep an extremely current, if only
  1177.                   minorly modified, issue of the DD.  You might
  1178.                   think of stage "a" of issue #6 as version 6.1,
  1179.                   stage "b" as version 6.2, stage "c" as version
  1180.                   6.3, etc.
  1181.  
  1182.                    New in version 6.0 is the following:
  1183.  
  1184.                        A)  Many minor revisions,
  1185.                        B)  17 more files, bringing the total to
  1186.                           120!
  1187.                        C)  Two new paragraphs in the introduction,
  1188.                        D)  Instructions on how to recover from a
  1189.                           trojan horse,
  1190.                        E)  A comprehensive glossary,
  1191.                        F)  This update history,
  1192.                        G)  An acknowledgments section set up for
  1193.                           major contributors of information
  1194.                           regarding new bogusware
  1195.                        H) A new bogusware catagory of
  1196.                           "miscellaneous illegal software."
  1197.  
  1198.     Version 7.0     The major changes in this version take place
  1199.                    in the revision stages.  From 6.0a to 6.0l I
  1200.                    add fifteen trojan horses, six commercial
  1201.                    programs, two miscellanous files, and two
  1202.                    hacked programs.  I also rewrite part of the
  1203.                    introduction, adding a paragraph, and I augment
  1204.                    the glossary at the end of this document.
  1205.                    While 6.0l contains a good deal of version 7.0;
  1206.                    however, version 7.0 is considerably different
  1207.                    than 6.0l.  For example, I add seventeen new
  1208.                    pirated programs, bringing the file total to a
  1209.                    whopping 165!  Moreover, I rewrite virtually
  1210.                    every paragraph in order to 'stylize' (clean up
  1211.                    the writing in) the document.
  1212.  
  1213.                     Once again I would like to thank all users who
  1214.                    called in updates to the Dirty Dozen; such
  1215.                    users encourage me to keep maintaining the
  1216.                    dirty dozen!
  1217.  
  1218.     Version 8.0     One of my hard disks has been down for about
  1219.                    six months.  Unfortunately version 8.0 was
  1220.                    ready for release RIGHT before the hard disk
  1221.                    crash, and, naturally, the new version was on
  1222.                    the busted HD un-backed-up.  Finally I've taken
  1223.                    the time (about 50 hours) to just sit down and
  1224.                    work with the Dirty Dozen.  I feel guilty that
  1225.                    I've held back the DDoz for so long, but
  1226.                    fortunately until recently there have been NO
  1227.                    trojan horses to report.  In anycase, I have
  1228.                    modified v. 7.0 of the Dirty Dozen extensively;
  1229.                    changes include:
  1230.                    
  1231.                        1) New illegal software category: VIRUS.
  1232.                    Virii are potentially more dangerous than
  1233.                    trojan horses.
  1234.  
  1235.                        2) New illegal software category: CAREFUL
  1236.                    These file are suspect; excercise caution
  1237.                    when running these unverified programs.
  1238.  
  1239.                        3) All paragraphs rewritten.  There were
  1240.                    quite a few cases of ambiguity in version 7.0;
  1241.                    now I hope to have eliminated those cases.
  1242.  
  1243.                        4) New Field added for filesize.  One of
  1244.                    these days trojan horse authors will think and
  1245.                    start uploading old trojans using new
  1246.                    filenames.  To combat this possibility, the
  1247.                    Dirty Dozen now holds a filesize for EVERY new
  1248.                    file added.  This way you can crossreference
  1249.                    file descriptions and filesizes to nip a trojan
  1250.                    in the bud.
  1251.  
  1252.                        5) The Dirty Dozen is now printable.  The
  1253.                    right margin is now 66, so all printers should
  1254.                    be able to print the DDoz without printing off
  1255.                    the right side of the paper.
  1256.  
  1257.                        6)  1 new Virus added.
  1258.                        7)  9 New Trojan Horses added
  1259.                        8) 22 New Pirated programs added
  1260.                        9)  0 New Hacked programs added
  1261.                       10)  2 New Miscellaneous files added
  1262.                       11)  1 New Careful file added
  1263.                       12) Glossary Update
  1264.  
  1265.                  Total bad files listed: 200
  1266.  
  1267.  
  1268.     Version 8.0a    I add four new trojan horses, update
  1269.                    information regarding two different trojans,
  1270.                    add three new virii, one new miscellaneous
  1271.                    program, and three new pirated programs.
  1272.  
  1273.                     Five or six glossary terms and a new
  1274.                    paragraph about protecting COMMAND.COM
  1275.                    from virii are also new.
  1276.  
  1277.         Note: I still have quite a few pirated files to add,
  1278. but in the interest of warning YOU of all the new trojans recently
  1279. released, I will hold those pirated files off for version 8.0b.
  1280.  
  1281. Dates of release:
  1282.  
  1283.    Version 1.0 -- October 20, 1985.
  1284.    Version 2.0 --
  1285.    Version 3.0 --  
  1286.    Version 4.0 --    
  1287.    Version 5.0 -- 
  1288.    Version 6.0 -- 
  1289.    Version 7.0 -- January  3, 1987.
  1290.    Version 8.0 -- February 5, 1988.
  1291.    Version 8.0a-- February 21, 1988.
  1292.  
  1293.  
  1294. ------------------------------------------------------------------
  1295. |                            Glossary:                           |
  1296. ------------------------------------------------------------------
  1297. |                                                                |
  1298. |  This glossary is for the beginning to intermediate level      |
  1299. | user.  Experienced users can skip this with confidence.  All   |
  1300. | users should use this as a reference since this material makes |
  1301. | for exceptionally droll. reading.                              |
  1302. |                                                                |
  1303. ------------------------------------------------------------------
  1304.  
  1305.  
  1306. ?Q?          -- ('?' represents any character) File extension for
  1307.                 SQueezed files.  Squeezed files are unusable until
  1308.                 unsqueezed by a utility such as NUSQ.COM or
  1309.                 USQ.COM.  The advantage of a SQueezed file is that
  1310.                 it is  smaller than a regular UnSQueezed file,
  1311.                 thus saving disk space and download time.
  1312.                 ARChives are more efficient than Squeezed files;
  1313.                 that's why there are so many more ARChives on
  1314.                 BBS's these days.  Example of the extensions of
  1315.                 SQueezed files:  .EQE, .CQM, .LQR, .TQT, .DQC,
  1316.                 etc.
  1317. ABBRV        -- Abbreviation for the word: "abbreviation"
  1318. ARC          -- File extension for an ARChive file -- many files
  1319.                 combined together to save space and download time
  1320.                 that require ARC.EXE, PKXARC.COM, ARCE.COM, or
  1321.                 ARCLS.EXE to separate the files in to runnable and
  1322.                 readable (in the case of text) form.
  1323. BAS          -- Abbrv for "BASIC," as in the programming language
  1324. BBS          -- Abbrv for "Bulletin Board System"
  1325. BBS's        -- Abbrv for "Bulletin Board Systems"
  1326. BOARD        -- Also "Bulletin Board System"
  1327. BOGUSWARE    -- Software that is damaging to one or more parties
  1328. BOOT or      -- To boot a computer is to restart it from scratch,
  1329. REBOOT          erasing all TSR programs.  One reboots by either
  1330.                 powering off and then back on, or pressing
  1331.                 Ctrl-Alt-Del at the same time.
  1332. BYTES        -- Bytes measure the length of a file, with one byte
  1333.                 equaling one character in a file.
  1334. CACHE [disk] -- Area of memory set aside to hold recent data.  All
  1335.                 programs then read recent data from that memory
  1336.                 rather than from disk.
  1337. CLUSTER      -- A phyical block on all [hard] disks, composed of
  1338.                 sectors, that holds data.
  1339. COM          -- File extension for a file that is executable from
  1340.                 DOS level
  1341. DD           -- Abbrv for "dirty dozen"
  1342. DEBUG        -- Either (V) to remove glitches in a program or (N)
  1343.                 the assembly language editor/compiler/disassembler
  1344.                 provided with DOS
  1345. DOC          -- Abbrv for "documentation"
  1346. EMS          -- Enhanced Memory Specification. An EMS card holds 2
  1347.                 MB extra mem.
  1348. EXE          -- file extension for a file that is executable from
  1349.                 DOS level
  1350. FAT          -- File Allocation Tables - First sectors of [hard]
  1351.                 disks where file sizes and physical locations
  1352.                 are stored.
  1353. FRAGMENT     -- DOS physically saves files all over disks-not
  1354.                 continously this slows down drives and cause
  1355.                 problems for recovering deleted files or formatted
  1356.                 disks.
  1357. HACKED       -- See "definitions" section
  1358. HIDDEN       -- A "hidden" file will not show up in a 'dir'ectory
  1359. HIGH LEVEL
  1360.  FORMAT      -- This type of format is what most computer users
  1361.                 view as a regular DOS-format.  That is, formatting
  1362.                 a disk using FORMAT.COM (included with DOS) is a
  1363.                 high level format.
  1364. IBM          -- International Business Machines
  1365. IBMBIO.COM   -- Hidden, System, Readonly file used by DOS
  1366. IBMSYS.COM   -- Hidden, System, Readonly file used by DOS
  1367. IBM OR COMP  -- IBM computer or a 99% or greater IBM Compatible
  1368.                 computer
  1369. KB           -- Abbreviation for "KiloBytes," one Kb equals 1024
  1370.                 bytes
  1371. LBR          -- Extension on Library files.  Library files are
  1372.                 really many combined files like ARChives, but they
  1373.                 require different utilities to extract the
  1374.                 individual files.  Some examples of such utilities
  1375.                 are LUU.EXE, LUE.EXE, LAR.EXE, AND ZIP.EXE.  See
  1376.                 "ARC"
  1377. LOW LEVEL
  1378.  FORMAT      -- This type of format is only executed on a hard
  1379.                 disk, therefore most hard disk low-level format
  1380.                 programs come only with a hard disk controller
  1381.                 card.  There are a few PD low-level formatting
  1382.                 packages, though.  Most manufacturers low-level
  1383.                 format their hard drives at the factory.  Low
  1384.                 level formatting is the first step in the three
  1385.                 part formatting process; the second step is to use
  1386.                 FDISK, and the third is to execute a high level
  1387.                 format.
  1388. MB           -- Abbrv for "Megabytes," or "millions of bytes."
  1389. MISC         -- Abbrv for "miscellaneous"
  1390. OPTIMIZE     -- To make all files on a disk "contiguous," or
  1391.                 physically linked together on a [hard] drive.
  1392. PATCH        -- A file that is patched (combined) into another
  1393.                 file to change the original file in some way
  1394. PD           -- Abbrv for "Public Domain"
  1395. PKXARC       -- Phil Katz's ARChive extracter
  1396. PIRATED      -- See DEFINITIONS section in this issue.
  1397. RAM          -- Abbrv for "Random Access Memory."  (memory used by
  1398.                 software)
  1399. RBBS         -- Abbrv for RBBS-PC, a type of BBS (Remote Bulletin
  1400.                 Board System)
  1401. READONLY     -- One can NOT write to "readonly" files (ie erasing)
  1402. ROM          -- Abbrv for "Read Only Memory." (memory used by
  1403.                 hardware to boot)
  1404. SQUASHING    -- File compression technique used by PKXARC but not
  1405.                 by SEA's ARC.EXE
  1406. SYSOP        -- SYStem OPerator of a BBS
  1407. SYSTEM       -- DOS reserves a "System" file for its own use 
  1408. TROJAN       -- See DEFINITIONS section in this issue.
  1409. TROJAN HORSE -- See DEFINITIONS section in this issue.
  1410. TSR          -- Abbv for "Terminate, Stay Resident" Synonym =
  1411.                 "Memory Resident"
  1412. TXT          -- Abbrv for "text"
  1413. USU          -- Abbrv for "usually"
  1414. UNP          -- Abbrv for "unprotect"
  1415. UNPROTECT    -- An "unprotect file" is a patch file that results
  1416.                 in the breaking of copy protection (no doubt for
  1417.                 back up purposes).
  1418. UTIL         -- abbrv for "utility"
  1419. VIRUS        -- See definition section
  1420. WORM         -- Trojan Horse
  1421.  
  1422.  
  1423. ------------------------------------------------------------------
  1424. |                            Finally:                            |
  1425. ------------------------------------------------------------------
  1426.  
  1427.  
  1428.  If you have any additions or corrections for this list, send them
  1429. to Eric Newhouse at any of the following places.  Please be sure
  1430. to leave the problem file name, size, and description.  Please
  1431. note that the West LA PC-Store is currently DOWN.  Thank You.
  1432.  
  1433.                   (in order of most frequented):
  1434.  
  1435.  
  1436.    * The Crest RBBS/CAMS   (213-471-2518)   (1200/2400)
  1437.          (160/50 MB)       [ This is my board ]
  1438.                                             
  1439.  
  1440. D  * The West LA PC-STORE  (213-559-6954)   (300/1200/2400)
  1441.          (50 MB)
  1442.  
  1443.    * Camelot PC-Board      (213-204-6158)   (300/1200/2400)
  1444.          (80 MB?) (leave mail to "NORMAN TEETER."  He will reley
  1445.                    your message).
  1446.  
  1447.    * The Source   (leave E-mail to "Doctor File Finder" in IBM SIG
  1448.                    #4).  Doctor File Finder (Mike Callahan) will
  1449.                    relay your update to me.
  1450.  
  1451. -----------------------------------------------------------------
  1452.  
  1453. END.
  1454.