home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / CRYPT2.ZIP / CRYPTLET.TR2 next >
Encoding:
Text File  |  1992-08-25  |  14.3 KB  |  287 lines
  1.  
  2.                     **************************************
  3.                     The CRYPT newsletter: semi-serious ish
  4.                     number 2, or another in an intermittent
  5.                     series.  --URNST KOUCH. M.CS, D.d.(Master:
  6.                     Cork-Screwin', Dirty-Dealin', etc.)*
  7.                     ***************************************
  8.  
  9.            *[I got this from George C. Scott in "The Flim-Flam Man."
  10.             You should ren this excellent movie; perhaps even use
  11.             'The Flim-Flam Man' as your 'handle.'!]
  12.  
  13.  
  14.        NEWS! NEWS! NEWS! NEWS!
  15.  
  16.        Hot from the gossip-mongers on the FidoNet virus echo:
  17.  
  18.        Tim Caton (The Pallbearer) and a member of
  19.        Phalcon/SKISM, were recently given three month furloughs by moderator
  20.        Frans "Dutch" SomethingorotherAndersssomething for yakking
  21.        about virus exchanges, etc., blah-blah-blah. In "Dutch's"
  22.        own words: they were "excommunicated."
  23.  
  24.        "Excommunication" translates loosely as "you can still
  25.        post, but no one is allowed to reply to you or they
  26.        will be excommunicated, too."  No word from "Dutch"
  27.        on the inherent 'unworkability' of this arrangement,
  28.        although Caton continues to post and receive responses.
  29.        Apparently, even "Dutch" doesn't believe his own spout.
  30.  
  31.        As for Caton: "This is just a hobby for me, you hear,
  32.        a hobby!! I could be baskin' in the sun in Florida!"
  33.        he bellowed.
  34.  
  35.        The "Dutch" policy also does not explain why FidoNet
  36.        fave Gary ("I've been programming in assembly for 14
  37.        years!") Watson is given such a long leash to discuss
  38.        transfer of viral material when newer members are
  39.        continually slapped around for discussing the same
  40.        general topics.
  41.  
  42.        Speaking of that rogue, Watson, wasn't it he
  43.        he who spent a recent afternoon running SCAN over
  44.        about 650,000 (?!??!) MtE loaded viral samples?
  45.        Now, izzit me, or does this strike you as nuts?
  46.        There is such a thing as being thorough, and then
  47.        there is: CLEARLY INSANE.  Working on your
  48.        Ph.D. thesis Gary? I'm glad I'm not on your
  49.        committee - pass the No-Doze, Quimby, Watson's giving
  50.        his research report on the MtE thisafter...
  51.  
  52.        SPOTTED ON THE CSERVE VIRUS FORUM: 'Outlaw Joz'
  53.        and 'Bocephus' viruses have been seen plaguing hapless
  54.        corporate stiffs. Our salute to whomever is responsible
  55.        for naming 'Outlaw Joz'!  Obviously, they know how to
  56.        come up with a classy moniker.
  57.  
  58.        Also seen (hey, this is like being one of those Audobon
  59.        society 'birder' weenies): GEEK virus, a mini-epidemic of
  60.        4096 and NPOX.
  61.  
  62.        And a special slap upside the head to Virus Bulletin
  63.        'journalist' Mark Hamilton. Hamilton recently sent
  64.        derogatory private e-mail blind-siding fellow VIRUSFORUM member
  65.        Eric Essman as "a sleaze." Amazingly, Hamilton sent it
  66.        to Essman, too (by mistake, apparently).
  67.        Essman promptly turned it into a 'public' multi-mail. Oops!
  68.        Pay more attention to those account addresses, Mark!
  69.        That's an e-mail faux-pas!
  70.  
  71.        THE GENVIR 1.0: THREAT OR MENACE??
  72.  
  73.        Have you seen this program:  The GENVIR 1.0 French virus
  74.        generator?
  75.  
  76.        Outwardly, it's quite an elaborate menu-driven viral
  77.        design suite for "researchers."  But when you get to
  78.        the punchline - the time for it to cough up a virus
  79.        to your specs - up comes a 'crippleware' nag screen.
  80.        Better part with the francs first and register, it
  81.        sez, or no viruses for you!
  82.  
  83.        Well, c-a-l-l-l-l-l-l Dr. FileFinder!
  84.  
  85.        In any case, the GENVIR 1.0 remains interesting for a number of
  86.        reasons. First, it's copyright date of 1990 makes it an early
  87.        attempt, if legit, to derive cash from viral code.  This
  88.        predates Mark Ludwig's "Little Black Book" and viral companion
  89.        disk by at least two years.
  90.  
  91.        Second, it shows that someone thought that a viral programming
  92.        tool had commercial potential, never mind the possible legal
  93.        ramifications.
  94.  
  95.        Third, since it's 'crippled' shareware, the possibility exists
  96.        that GENVIR 1.0 is the software equivalent of the Piltdown
  97.        Man - an elaborate hoax designed to entice saps into sending
  98.        their hard-earned cash money to an anonymous POB. Haha!!
  99.  
  100.        Whatever the truth, the GENVIR 1.0 is surrounded in controversy,
  101.        generated, perhaps, by the rage of virus fanatics who spend the
  102.        precious filepoints to download it.
  103.  
  104.        Is there a GENVIR virus (like MANTA) floating around?
  105.        You tell me if you've got the 'registered' version!!*
  106.  
  107.        [*Note: if you obtain GENVIR 1.0, better have your pocket
  108.        French-English dictionary ready.  It's 100% frog, but
  109.        still easily doped out if you've got the patience.]
  110.  
  111.        CASH FOR CODE: AN IDEA WHOSE TIME HAS COME?
  112.  
  113.        Have you been charging for downloading rights on your exchange?
  114.        Well, if not, perhaps you should.  From what I can tell
  115.        here in lower Slobville, Pennsylvania, viruses and their source
  116.        codes are in high demand.  And a lot of people who want them
  117.        have trouble getting at them, either because they don't have
  118.        a unique virus to upload or don't wish to be bothered with
  119.        programming one.
  120.  
  121.        Now, there's nothing wrong with this attitude.  After all, should
  122.        you have to hand machine your own Mossburg AlleySweeper before you
  123.        stroll into a firearms store to purchase one?  Of course not.
  124.        If that were so, the locals would be rioting in the streets from
  125.        here to the Florida Keys over infringement of their constitutional
  126.        rights.
  127.  
  128.        This potential customer base cannot look to the anti-virus
  129.        community for help. Remember, John McAfee has said something to
  130.        the effect that passing on the code of Michelangelo would be akin to
  131.        giving some street urchin a vial of human pathogens.
  132.  
  133.        So, the field is wide open for the virus exhanges. Rather
  134.        than ask for 'donations', why not simply package viral
  135.        samples in bulk lot and charge what the market will bear,
  136.        depending upon strain demand or prevalence?
  137.  
  138.        Viral samples could also be packaged with descriptive docs to
  139.        enhance their value and given a guarantee test for 'live'
  140.        quality before put on line. Think of it.  In the long run,
  141.        who do you think will attract more users: the virus exchange
  142.        with hundreds of cryptic archives totally loaded with misnamed
  143.        strains, dummy files, incomplete fragments of code or 100k
  144.        infected games, or the exchange that distributes well documented,
  145.        completely characterized, naked viral samples. [This, of
  146.        course, entails some work.  The archivist will have to go
  147.        through his files and transfer virus-infected utilities/games/etc.
  148.        to a testing area where the virus can be 'trapped' in a small
  149.        generic .COMstub before return to the archive. Documents will
  150.        have to be prepared and formatted, too. This serves a double
  151.        purpose, screening out 'dead' files.]
  152.  
  153.        Anyway, I think you know the answer.  Think of the virus archive
  154.        as a specialty 'chemical' firm providing lab quality goods for
  155.        interested hobbyists, researchers and the occasional mis-guided
  156.        . . . um, terrorist.
  157.  
  158.        American gadget freaks, particulary computer hobbyists, are
  159.        inveterate packrats and collectors. In my opinion, those
  160.        interested WILL pay for quality samples, easily obtained
  161.        from straightforward BBS's not saddled with idiotic posting ratios,
  162.        overly chatty menus or disdainful, mocking 'help' prompts.
  163.  
  164.        Do yourself a favor. Start making some money off your long
  165.        distance collection.
  166.  
  167.        SCAN 95B AND VCL CODE: A VERY BRIEF RESEARCH REPORT ALMOST
  168.        TOTALLY DEVOID OF EXACTING DETAIL
  169.  
  170.        The news is out. SCAN 95B detects VCL code as the [Con] virus.
  171.        How long will it take you to retool your custom-designed virus
  172.        so that it can be ready to head back out into the wild?
  173.  
  174.        The answer: not very long. I recently spent 15 minutes breaking
  175.        SCAN's 'death-grip' on some VCL variants. Simply, the basic
  176.        technique involves making minor changes to, um, well ... heh-heh,
  177.        some secrets have to remain 'proprietary' because there are
  178.        flies on the walls of even the most remote BBS.
  179.  
  180.        However, included with this issue of the Cryptletter IS a hex
  181.        dump of the MIMIC1 virus, a VCL 1.0 product that DOES NOT
  182.        scan under 95B.  So, you can reverse engineer it if you
  183.        like, but lemme tell ya confidentially, you can probably
  184.        figure it out yourself in less time than I did.
  185.  
  186.        The REAL point of this abstract again demonstrates the inevitable
  187.        passing of the brute-force scanner.  With the advent of Nowhere
  188.        Man's VCL (and the easy availability of many viral source codes),
  189.        it remains possible to flood any region with a variety of
  190.        easily patched, viral samples. Only software which performs
  191.        functions analogous to something like INTEGRITY MASTER is not
  192.        obsolete. However, will the average American realize this?
  193.        Probably not for another five years.
  194.  
  195.        ONE FINAL BURNING QUESTION!!
  196.  
  197.        Why does Mark Hamilton's Virus Bulletin cost so much?  When
  198.        viral sources are commonplace, when there are 'free' magazines
  199.        of technical advice like 40Hex, why is there a
  200.        market for Virus Bulletin?  The answer: some haven't
  201.        caught on.  Give someone you know in the corporate security
  202.        business some source codes, the VCL or PS-MPC, a copy of 40Hex,
  203.        Nuke Info Journal, or, hey, even the Cryptletter.
  204.        Once they know where to find 'em, perhaps they'll weigh the
  205.        cost effectiveness and eventully put Hamilton out of a job.
  206.        Information is not property/goods in the sense that most
  207.        Westerners envision it as!!  Don't pay throat-cutting prices
  208.        for things you have a right to be able to research for free!
  209.        Journals like Virus Bulletin belong in engineering libraries,
  210.        subscriptions bought and paid for by department funds, available
  211.        to all, just like any other scientific journal.
  212.  
  213.        CRYPTLETTER APPENDICES: AH, THE GOOD STUFF!
  214.  
  215.        This issue of Crypt contains two hexdumps of live viruses:
  216.        MIMIC.DMP and MIMIC2.DMP.
  217.  
  218.        Go to the C prompt and type C:\> debug <mimic.dmp .
  219.        Voila! The MIMIC1 virus is ready to go! Same for MIMIC2.DMP
  220.  
  221.        Some info: MIMIC 1 is an unscanned VCL variant. Encrypted,
  222.        .COM appending, MIMIC 1 activates on Fridays and hunts down
  223.        .EXE's. The target .EXE's are transformed into DEN ZUKO
  224.        'zombies.' When called, the .EXE's/DEN ZUKO 'zombies' will
  225.        load and display the fancy-shmancy DEN ZUKO graphic effect.
  226.        The 'zombies' are not infectious and will NOT scan as DEN
  227.        ZUKO virus.  The astute among you will know that DEN ZUKO
  228.        is a boot infector.  Think of the confusion that could ensue
  229.        when the DEN ZUKO graphic appears on a PC screen, but memory
  230.        scans clean for boot infectors.  I'm sure you see the potential.
  231.        The clever will also observe that the hexdump has a rather large
  232.        'zero' byte stub.  This was the generic stump I attached to
  233.        MIMIC1 so that its encryption engine would turn once.
  234.        The actual virus is about 1000 bytes smaller than the
  235.        final hexdump product.
  236.  
  237.        MIMIC 2 is an unscanned, encrypted .COM/.EXE infector produced
  238.        from hybridized VCL and PS-MPC code.  On Fridays, MIMIC 2 shuts
  239.        down its rounds of infection and goes on an .EXE hunt to
  240.        transform them into JERUSALEM virus 'zombies.' The JERUSALEM
  241.        'zombies' will go resident when executed, effect system slowdown
  242.        and the characteristic black scrolling screen effect. The 'zombies'
  243.        do not scan, are not infectious and are not overly bright.  They
  244.        will load one on top of the other in low RAM (about .9k) if
  245.        called in multiples.
  246.  
  247.        And last: CRMBL.ASM - an a86 'falling letters/CASCADE virus'
  248.        effect written so that it is easily shot-gunned into VCL
  249.        1.0 product.  It can also be made into a stand-alone.
  250.  
  251.        My thanks again go out to Nowhere Man, without whom blah-blah-
  252.        blah.  If you enjoy the Cryptletter, drop me a line, wampum,
  253.        rotten fruit, whatever at the DARK COFFIN BBS.
  254.        [I am also interesting in keeping Cryptletter reasonably
  255.        error free.  I've made every effort to determine that the
  256.        hex dumps and code as provided will work on an average
  257.        IBM PC. However, errors could have crept in in production.
  258.        If you find that the hexdumps do not produce working viruses,
  259.        I want to know. I will gladly supply you with 'working' copies
  260.        if such is ever found to be the case.]
  261.  
  262.        And, finally, finally, finally:
  263.        
  264.        If you are entertaining the idea of contributing or writing
  265.        nay-saying commentary to the Cryptletter, please feel free,
  266.        but remember to leave a point of contact if you wish
  267.        any chance of feedback on it. However, because I don't run
  268.        the DARK COFFIN BBS, I take no responsibility for electronic
  269.        archives or documents that may ocassionally go astray upon it.
  270.  
  271.        I remain your obedient servant,
  272.  
  273.        --URNST KOUCH [Aug 92]
  274.  
  275.      ╔════════════════════════════════════════════════════════════════════╗
  276.      ║ This V/T info phile brought to you by Çτÿ₧,                        ║
  277.      ║ Makers/Distributors/Archivists of Phine Viruses/Trojans.           ║
  278.      ╠════════════════════════════════════════════════════════════════════╣
  279.      ║ Dark Coffin ···················· HQ/Main Support ··· 215.966.3576  ║
  280.      ╟────────────────────────────────────────────────────────────────────╢
  281.      ║ VIRUS_MAN ······················ Member Support ···· ITS.PRI.VATE  ║
  282.      ║ Callahan's Crosstime Saloon ···· Southwest HQ ······ 314.939.4113  ║
  283.      ║ Nuclear Winter ················· Member Board ······ 215.882.9122  ║
  284.      ╚════════════════════════════════════════════════════════════════════╝
  285.  
  286.  
  287.