home *** CD-ROM | disk | FTP | other *** search

---

/ HPAVC / HPAVC CD-ROM.iso / CRYPT2.ZIP / CRYPTLET.TR2

next >

Wrap

Text File  |  1992-08-25  |  15KB  |  287 lines

---

1.  
2.                     **************************************
3.                     The CRYPT newsletter: semi-serious ish
4.                     number 2, or another in an intermittent
5.                     series.  --URNST KOUCH. M.CS, D.d.(Master:
6.                     Cork-Screwin', Dirty-Dealin', etc.)*
7.                     ***************************************
8.  
9.            *[I got this from George C. Scott in "The Flim-Flam Man."
10.             You should ren this excellent movie; perhaps even use
11.             'The Flim-Flam Man' as your 'handle.'!]
12.  
13.  
14.        NEWS! NEWS! NEWS! NEWS!
15.  
16.        Hot from the gossip-mongers on the FidoNet virus echo:
17.  
18.        Tim Caton (The Pallbearer) and a member of
19.        Phalcon/SKISM, were recently given three month furloughs by moderator
20.        Frans "Dutch" SomethingorotherAndersssomething for yakking
21.        about virus exchanges, etc., blah-blah-blah. In "Dutch's"
22.        own words: they were "excommunicated."
23.  
24.        "Excommunication" translates loosely as "you can still
25.        post, but no one is allowed to reply to you or they
26.        will be excommunicated, too."  No word from "Dutch"
27.        on the inherent 'unworkability' of this arrangement,
28.        although Caton continues to post and receive responses.
29.        Apparently, even "Dutch" doesn't believe his own spout.
30.  
31.        As for Caton: "This is just a hobby for me, you hear,
32.        a hobby!! I could be baskin' in the sun in Florida!"
33.        he bellowed.
34.  
35.        The "Dutch" policy also does not explain why FidoNet
36.        fave Gary ("I've been programming in assembly for 14
37.        years!") Watson is given such a long leash to discuss
38.        transfer of viral material when newer members are
39.        continually slapped around for discussing the same
40.        general topics.
41.  
42.        Speaking of that rogue, Watson, wasn't it he
43.        he who spent a recent afternoon running SCAN over
44.        about 650,000 (?!??!) MtE loaded viral samples?
45.        Now, izzit me, or does this strike you as nuts?
46.        There is such a thing as being thorough, and then
47.        there is: CLEARLY INSANE.  Working on your
48.        Ph.D. thesis Gary? I'm glad I'm not on your
49.        committee - pass the No-Doze, Quimby, Watson's giving
50.        his research report on the MtE thisafter...
51.  
52.        SPOTTED ON THE CSERVE VIRUS FORUM: 'Outlaw Joz'
53.        and 'Bocephus' viruses have been seen plaguing hapless
54.        corporate stiffs. Our salute to whomever is responsible
55.        for naming 'Outlaw Joz'!  Obviously, they know how to
56.        come up with a classy moniker.
57.  
58.        Also seen (hey, this is like being one of those Audobon
59.        society 'birder' weenies): GEEK virus, a mini-epidemic of
60.        4096 and NPOX.
61.  
62.        And a special slap upside the head to Virus Bulletin
63.        'journalist' Mark Hamilton. Hamilton recently sent
64.        derogatory private e-mail blind-siding fellow VIRUSFORUM member
65.        Eric Essman as "a sleaze." Amazingly, Hamilton sent it
66.        to Essman, too (by mistake, apparently).
67.        Essman promptly turned it into a 'public' multi-mail. Oops!
68.        Pay more attention to those account addresses, Mark!
69.        That's an e-mail faux-pas!
70.  
71.        THE GENVIR 1.0: THREAT OR MENACE??
72.  
73.        Have you seen this program:  The GENVIR 1.0 French virus
74.        generator?
75.  
76.        Outwardly, it's quite an elaborate menu-driven viral
77.        design suite for "researchers."  But when you get to
78.        the punchline - the time for it to cough up a virus
79.        to your specs - up comes a 'crippleware' nag screen.
80.        Better part with the francs first and register, it
81.        sez, or no viruses for you!
82.  
83.        Well, c-a-l-l-l-l-l-l Dr. FileFinder!
84.  
85.        In any case, the GENVIR 1.0 remains interesting for a number of
86.        reasons. First, it's copyright date of 1990 makes it an early
87.        attempt, if legit, to derive cash from viral code.  This
88.        predates Mark Ludwig's "Little Black Book" and viral companion
89.        disk by at least two years.
90.  
91.        Second, it shows that someone thought that a viral programming
92.        tool had commercial potential, never mind the possible legal
93.        ramifications.
94.  
95.        Third, since it's 'crippled' shareware, the possibility exists
96.        that GENVIR 1.0 is the software equivalent of the Piltdown
97.        Man - an elaborate hoax designed to entice saps into sending
98.        their hard-earned cash money to an anonymous POB. Haha!!
99.  
100.        Whatever the truth, the GENVIR 1.0 is surrounded in controversy,
101.        generated, perhaps, by the rage of virus fanatics who spend the
102.        precious filepoints to download it.
103.  
104.        Is there a GENVIR virus (like MANTA) floating around?
105.        You tell me if you've got the 'registered' version!!*
106.  
107.        [*Note: if you obtain GENVIR 1.0, better have your pocket
108.        French-English dictionary ready.  It's 100% frog, but
109.        still easily doped out if you've got the patience.]
110.  
111.        CASH FOR CODE: AN IDEA WHOSE TIME HAS COME?
112.  
113.        Have you been charging for downloading rights on your exchange?
114.        Well, if not, perhaps you should.  From what I can tell
115.        here in lower Slobville, Pennsylvania, viruses and their source
116.        codes are in high demand.  And a lot of people who want them
117.        have trouble getting at them, either because they don't have
118.        a unique virus to upload or don't wish to be bothered with
119.        programming one.
120.  
121.        Now, there's nothing wrong with this attitude.  After all, should
122.        you have to hand machine your own Mossburg AlleySweeper before you
123.        stroll into a firearms store to purchase one?  Of course not.
124.        If that were so, the locals would be rioting in the streets from
125.        here to the Florida Keys over infringement of their constitutional
126.        rights.
127.  
128.        This potential customer base cannot look to the anti-virus
129.        community for help. Remember, John McAfee has said something to
130.        the effect that passing on the code of Michelangelo would be akin to
131.        giving some street urchin a vial of human pathogens.
132.  
133.        So, the field is wide open for the virus exhanges. Rather
134.        than ask for 'donations', why not simply package viral
135.        samples in bulk lot and charge what the market will bear,
136.        depending upon strain demand or prevalence?
137.  
138.        Viral samples could also be packaged with descriptive docs to
139.        enhance their value and given a guarantee test for 'live'
140.        quality before put on line. Think of it.  In the long run,
141.        who do you think will attract more users: the virus exchange
142.        with hundreds of cryptic archives totally loaded with misnamed
143.        strains, dummy files, incomplete fragments of code or 100k
144.        infected games, or the exchange that distributes well documented,
145.        completely characterized, naked viral samples. [This, of
146.        course, entails some work.  The archivist will have to go
147.        through his files and transfer virus-infected utilities/games/etc.
148.        to a testing area where the virus can be 'trapped' in a small
149.        generic .COMstub before return to the archive. Documents will
150.        have to be prepared and formatted, too. This serves a double
151.        purpose, screening out 'dead' files.]
152.  
153.        Anyway, I think you know the answer.  Think of the virus archive
154.        as a specialty 'chemical' firm providing lab quality goods for
155.        interested hobbyists, researchers and the occasional mis-guided
156.        . . . um, terrorist.
157.  
158.        American gadget freaks, particulary computer hobbyists, are
159.        inveterate packrats and collectors. In my opinion, those
160.        interested WILL pay for quality samples, easily obtained
161.        from straightforward BBS's not saddled with idiotic posting ratios,
162.        overly chatty menus or disdainful, mocking 'help' prompts.
163.  
164.        Do yourself a favor. Start making some money off your long
165.        distance collection.
166.  
167.        SCAN 95B AND VCL CODE: A VERY BRIEF RESEARCH REPORT ALMOST
168.        TOTALLY DEVOID OF EXACTING DETAIL
169.  
170.        The news is out. SCAN 95B detects VCL code as the [Con] virus.
171.        How long will it take you to retool your custom-designed virus
172.        so that it can be ready to head back out into the wild?
173.  
174.        The answer: not very long. I recently spent 15 minutes breaking
175.        SCAN's 'death-grip' on some VCL variants. Simply, the basic
176.        technique involves making minor changes to, um, well ... heh-heh,
177.        some secrets have to remain 'proprietary' because there are
178.        flies on the walls of even the most remote BBS.
179.  
180.        However, included with this issue of the Cryptletter IS a hex
181.        dump of the MIMIC1 virus, a VCL 1.0 product that DOES NOT
182.        scan under 95B.  So, you can reverse engineer it if you
183.        like, but lemme tell ya confidentially, you can probably
184.        figure it out yourself in less time than I did.
185.  
186.        The REAL point of this abstract again demonstrates the inevitable
187.        passing of the brute-force scanner.  With the advent of Nowhere
188.        Man's VCL (and the easy availability of many viral source codes),
189.        it remains possible to flood any region with a variety of
190.        easily patched, viral samples. Only software which performs
191.        functions analogous to something like INTEGRITY MASTER is not
192.        obsolete. However, will the average American realize this?
193.        Probably not for another five years.
194.  
195.        ONE FINAL BURNING QUESTION!!
196.  
197.        Why does Mark Hamilton's Virus Bulletin cost so much?  When
198.        viral sources are commonplace, when there are 'free' magazines
199.        of technical advice like 40Hex, why is there a
200.        market for Virus Bulletin?  The answer: some haven't
201.        caught on.  Give someone you know in the corporate security
202.        business some source codes, the VCL or PS-MPC, a copy of 40Hex,
203.        Nuke Info Journal, or, hey, even the Cryptletter.
204.        Once they know where to find 'em, perhaps they'll weigh the
205.        cost effectiveness and eventully put Hamilton out of a job.
206.        Information is not property/goods in the sense that most
207.        Westerners envision it as!!  Don't pay throat-cutting prices
208.        for things you have a right to be able to research for free!
209.        Journals like Virus Bulletin belong in engineering libraries,
210.        subscriptions bought and paid for by department funds, available
211.        to all, just like any other scientific journal.
212.  
213.        CRYPTLETTER APPENDICES: AH, THE GOOD STUFF!
214.  
215.        This issue of Crypt contains two hexdumps of live viruses:
216.        MIMIC.DMP and MIMIC2.DMP.
217.  
218.        Go to the C prompt and type C:\> debug <mimic.dmp .
219.        Voila! The MIMIC1 virus is ready to go! Same for MIMIC2.DMP
220.  
221.        Some info: MIMIC 1 is an unscanned VCL variant. Encrypted,
222.        .COM appending, MIMIC 1 activates on Fridays and hunts down
223.        .EXE's. The target .EXE's are transformed into DEN ZUKO
224.        'zombies.' When called, the .EXE's/DEN ZUKO 'zombies' will
225.        load and display the fancy-shmancy DEN ZUKO graphic effect.
226.        The 'zombies' are not infectious and will NOT scan as DEN
227.        ZUKO virus.  The astute among you will know that DEN ZUKO
228.        is a boot infector.  Think of the confusion that could ensue
229.        when the DEN ZUKO graphic appears on a PC screen, but memory
230.        scans clean for boot infectors.  I'm sure you see the potential.
231.        The clever will also observe that the hexdump has a rather large
232.        'zero' byte stub.  This was the generic stump I attached to
233.        MIMIC1 so that its encryption engine would turn once.
234.        The actual virus is about 1000 bytes smaller than the
235.        final hexdump product.
236.  
237.        MIMIC 2 is an unscanned, encrypted .COM/.EXE infector produced
238.        from hybridized VCL and PS-MPC code.  On Fridays, MIMIC 2 shuts
239.        down its rounds of infection and goes on an .EXE hunt to
240.        transform them into JERUSALEM virus 'zombies.' The JERUSALEM
241.        'zombies' will go resident when executed, effect system slowdown
242.        and the characteristic black scrolling screen effect. The 'zombies'
243.        do not scan, are not infectious and are not overly bright.  They
244.        will load one on top of the other in low RAM (about .9k) if
245.        called in multiples.
246.  
247.        And last: CRMBL.ASM - an a86 'falling letters/CASCADE virus'
248.        effect written so that it is easily shot-gunned into VCL
249.        1.0 product.  It can also be made into a stand-alone.
250.  
251.        My thanks again go out to Nowhere Man, without whom blah-blah-
252.        blah.  If you enjoy the Cryptletter, drop me a line, wampum,
253.        rotten fruit, whatever at the DARK COFFIN BBS.
254.        [I am also interesting in keeping Cryptletter reasonably
255.        error free.  I've made every effort to determine that the
256.        hex dumps and code as provided will work on an average
257.        IBM PC. However, errors could have crept in in production.
258.        If you find that the hexdumps do not produce working viruses,
259.        I want to know. I will gladly supply you with 'working' copies
260.        if such is ever found to be the case.]
261.  
262.        And, finally, finally, finally:
263.        
264.        If you are entertaining the idea of contributing or writing
265.        nay-saying commentary to the Cryptletter, please feel free,
266.        but remember to leave a point of contact if you wish
267.        any chance of feedback on it. However, because I don't run
268.        the DARK COFFIN BBS, I take no responsibility for electronic
269.        archives or documents that may ocassionally go astray upon it.
270.  
271.        I remain your obedient servant,
272.  
273.        --URNST KOUCH [Aug 92]
274.  
275.      ╔════════════════════════════════════════════════════════════════════╗
276.      ║ This V/T info phile brought to you by Çτÿ₧,                        ║
277.      ║ Makers/Distributors/Archivists of Phine Viruses/Trojans.           ║
278.      ╠════════════════════════════════════════════════════════════════════╣
279.      ║ Dark Coffin ···················· HQ/Main Support ··· 215.966.3576  ║
280.      ╟────────────────────────────────────────────────────────────────────╢
281.      ║ VIRUS_MAN ······················ Member Support ···· ITS.PRI.VATE  ║
282.      ║ Callahan's Crosstime Saloon ···· Southwest HQ ······ 314.939.4113  ║
283.      ║ Nuclear Winter ················· Member Board ······ 215.882.9122  ║
284.      ╚════════════════════════════════════════════════════════════════════╝
285.  
286.  
287.