home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / CRYPT5.ZIP / CRPTLET.TR5 < prev    next >
Encoding:
Text File  |  1992-09-11  |  53.9 KB  |  1,030 lines
  1.                  **********************************************
  2.                  The Crypt Newsletter [mid-Sept.'92]: another in
  3.                  an infrequent series of factual, info-glutted, 
  4.                  tongue-in-cheek monographs solely for the enjoyment
  5.                  of the virus programming professional or enthusiast
  6.                  interested in the particulars of electronic mayhem.  
  7.                                       
  8.                                       -*-
  9.                               
  10.                               Edited by URNST KOUCH.
  11.                  **********************************************
  12.  
  13.        This issue's quote:  "It's a new hobby, folks."
  14.                          --John Dvorak on virus programming, from the 2nd
  15.        edition of Dvorak's Telecommunications, Dvorak and Anis (McGraw-Hill).
  16.        *******************************************************************
  17.  
  18.        IN THIS ISSUE: Local news...viruses for sale...condensed results of
  19.        NCSA scanner evaluation...viruses as tools of civil disobedience...
  20.        MacMag Peace virus dropper charged with crime...trojan programming
  21.        and stomping out the pernicious threat of hard core pornography...
  22.        Hans Von Braun, enlightened fellow...dummkopf of month award...
  23.        Nowhere Man's CRYPTCOM 2.0...Pallbearer's KONSUMER KORNER...
  24.        the CASINO virus...NUKEX...BATCOMPI trojan...the PENIS trojan...
  25.        CORRUPTO 2 and more.
  26.        
  27.        
  28.        NEWS! NEWS! NEWS! NEWS! NEWS!
  29.        
  30.        Frans "Dutch" Hagelaars nee SomethingAndersswhateversomething,
  31.        Poobah of the Virus echo distributed on the FidoNet,
  32.        clamped down on the public domain Wizard's Retreat BBS
  33.        in Allentown, PA, for refusing to delete virus exchange sysop
  34.        Tim Caton (aka Pallbearer) from its caller base. 
  35.  
  36.        In order to preserve the transmission of the echo, Wizard
  37.        Retreat sysop Scott Miller has made the echo 'read-only'
  38.        for all local callers. He declined to delete user Caton.
  39.        
  40.        In related news, Phalcon/SKISM's Night Crawler, the other
  41.        FidoNet virus echo user excommunicated in "Dutch's" late Summer
  42.        purge, reappeared in the waning days of August to wish Hagelaars 
  43.        well.
  44.        
  45.        "You, my good man, can go to HELL!" commented the SKISM member.
  46.  
  47.        In unrelated news: We now reprint a fragment of a recent 
  48.        post from FidoNet Virus echo user and 14-year assembly 
  49.        programmer, Gary Watson. In it Watson protested his being
  50.        labeled a pampered menial by the Crypt Newsletter for constantly
  51.        being allowed to flame on topics which usually get 'lesser' users
  52.        barred. 
  53.        
  54.        "Why would I want to [pass viruses on FidoNet]? "I make a 
  55.        point of *not* collecting them," claimed Mr. Watson.
  56.  
  57.        Interested readers will be amused to find that the same 
  58.        "Nixon" Watson was recently spotted uploading an archive 
  59.        containing live samples and source code to BADBOY 2, DIAMOND, 
  60.        DIR-2, OUTLAND, MURPHY, MG, MIX, HORSE, PINGPONG, 4096, LEECH, 
  61.        AMSTRAD, CRAZYEDDIE, etc., to the DARK COFFIN BBS.  
  62.        
  63.        The Dark Coffin is hosted by the shunned & hated Caton and,
  64.        incidentally, seems to be the mailing address of this newsletter.
  65.        Small world, isn't it, Gary? Not a collector? INDEED.
  66.        
  67.        ANYWAY, here at the Crypt newsletter, we reckon the Virus 
  68.        echo and its users would be BETTER served if "Dutch" Hagelaars
  69.        took the following steps:
  70.        
  71.             1. Discourage trivial posts like those generated by
  72.             Gyuri "George" K. GK's disjointed messages resemble 
  73.             what can only be described as the distracting chatter 
  74.             of a madman. Hey, try and keep it on the subject, eh? 
  75.             [Oops, hope he's not DAV incognito!]
  76.             
  77.             2. Time to consider instituting separate feeds to all nodes 
  78.             where users persist in posting "SEKRIT" messages in Polish, 
  79.             Danish, Slavonic, Chervonsky, Basque, Martian or whatever. 
  80.             As an Ami Schwein, I speak only de Englise, dammit, and see
  81.             little value in wading through apocryphal messages which appear
  82.             to be written in ecthje fiudoaw resstetiii. (See what I mean?) 
  83.             It's quite possible users from nether-Poo-Stink, Central Europe, 
  84.             feel the same way about MY lingua franca. Do something
  85.             about this. 
  86.             
  87.             3. Encourage more exchange of detailed, high value info
  88.             relevant to virus study, i.e., ripped off copies of
  89.             Virus Bulletin, news briefs, more posting from Virus - L
  90.             Digest (the Crypt Newsletter, heh). At this point, the echo 
  91.             is about as informative as the QModem users help group. 
  92.             Rob Slade and Paul Ferguson are two who DON'T continually 
  93.             transmit useless, anecdotal, horrifyingly re-quoted replies 
  94.             to the fragmented discussions of others (see #1 for an
  95.             example). Many could learn from them. Time to tear the 
  96.             lid off the source code ban, too. The cows have left 
  97.             the barn, boys.
  98.            
  99.        Until these steps are taken, the Virus echo will remain trivial.
  100.        "It's no big loss," said Caton.  Res Ipso Loquitur.
  101.        
  102.        Down on the Gulf of Mexico in Mission, TX, sysop Zendor of the
  103.        Other Side BBS has taken matters into his own hands and started
  104.        charging a small fee for bulk mail delivery of viruses, 
  105.        source code, and related files. For $1.00 cash money, 
  106.        Zendor will supply a catalog; for $10.00, a diskette of the 
  107.        software in his archive.
  108.        
  109.        Compared to the $15.00 asking price for "The Little Black Book of
  110.        Computer Viruses" (American Eagle Publishing, Tucson, AZ) 
  111.        companion diskette, Zendor's terms seem quite fair. Mail him 
  112.        at 1807 Cassandra, Mission, TX 78572, or call The Other Side 
  113.        at 512-618-0154.
  114.  
  115.        In related news, The Other Side is a member of the WWIV StormLink 
  116.        net and sponsors the "Infected Files" sub nationwide.  In its first
  117.        week, "Infected Files" posts included the source code for
  118.        the SARA GORDON virus (mistakenly posted at the MtE) and debug scripts
  119.        for the FELLOWSHIP and MIMIC2 viruses, among others.  Sadly, it
  120.        didn't take long for someone to cry foul and threaten its closure
  121.        unless all source codes and hex dump transmissions were curtailed.
  122.        The punitive action achieved little, since virus exchange sysops
  123.        continued to freely trade advice and phone numbers at will. Now 
  124.        izzit me, or are all net co-ordinators trained to be morons?  
  125.        What difference is there between posting codes or BBS numbers 
  126.        where codes and live viruses can be freely downloaded? A free 
  127.        no-prize to you if you can explain it to me! Just another case 
  128.        of the Emperor's New Clothes.
  129.  
  130.  
  131.        Symantec has taken the step of uploading a freeware version of the
  132.        Norton Antivirus's scan utility, NAVSCA.ZIP, to the IBMSYS and 
  133.        VIRUSFORUM SIG's on COMPUSERVE. This is not the first time
  134.        a colorful commercial outfit has attempted to do battle with the
  135.        shareware market. Back at the time of the Michelangelo scare, 
  136.        XTREE made available a free version of UNVIRUS, the scanning utility
  137.        from its VIRUSAFE package. About the only remarkable points about
  138.        XTREE's program where the amusing cheeping noises it made when 
  139.        searching memory for 'stealth' viruses and the hysterically silly 
  140.        virus descriptions: "Fill in your own virus - This virus is very 
  141.        dangerous and will corrupt all the files on your system, eventually 
  142.        totally destroying the disk!"
  143.        
  144.        As for NAVSCAN's efficacy as a brute-force scanner against the 
  145.        new crop of viral programs? We took it into the Crypt virus 
  146.        lab and scooped up a handful of VCL 1.0 variants 
  147.        (DIARRHEA 1 & 2, HEEVAHAVA and RED HERRING), a few direct action 
  148.        infectors designed with VCL 1.0 but optimized to avoid detection 
  149.        by SCAN v95B (MIMIC 1 & 2, DIOGENES) and two weirdos - COMMANDER
  150.        BOMBER and STARSHIP. The score? No hits. Here at the Crypt
  151.        Newsletter, we deem these results unsuitable for "optimum
  152.        consumer confidence." Even if it's free.
  153.  
  154.        
  155.        And now for your further infotainment, a newsbrief culled and cribbed
  156.        without permission from a post by FidoNet virus echo user Paul 
  157.        Ferguson. Take it away (and thanks anyway), Paul!
  158.  
  159.       Reprinted without permission from Federal Computer Week, 17 August 1992 -
  160.       (page 34)
  161.  
  162. 8<-------- Cut Here ---------------
  163.  
  164.       MOST VIRUS-DETECTION PRODUCTS SUCCESSFUL
  165.       by Richard A. Danca
  166.  
  167.  Most PC virus-detection products do an excellent job of finding known
  168. viruses on a PC, according to tests run by the National Computer
  169. Security Association, Carlisle, Pa.
  170.  In NCSA's tests, 12 of 16 virus-detection products found more than 90
  171. percent of the 848 viruses or virus variants in NCSA's database. Only
  172. two of the products found fewer than 80 percent of the files.
  173.  NCSA tested all the products it received after announcing it would
  174. conduct the tests, said membership director Paul R. Gates.
  175.  The association will run tests every month, and future tests will
  176. probably include other virus detectors, he said. Questions remain,
  177. however, about the validity of the tests and the hazards viruses pose.
  178.  Three products found 100 percent of the 848 viruses NCSA used in the
  179. test: Virex-PC from Microcom Inc., Norwood, Mass.; Panscan from Panda
  180. Systems, Wilmington, Del.; and Findviru from S&S International,
  181. Berkhamsted, Hertfordshire, Britain.
  182.  NCSA uses the term "infected files" to refer to the viruses it tested
  183. because many viruses are variants of others and because there are no
  184. agreed-upon naming criteria, Gates said, nor did NCSA distinguish
  185. between common and unusual viruses. "The common ones are in there with
  186. the rare ones."
  187.  
  188.  ONLY DETECTION WAS TESTED
  189.  
  190.  NCSA tested only virus detection, not removal. Many viruses make it
  191. impossible to re-create programs or data they have infected, so
  192. detection is more important than removal, Gates said. "Mostly what
  193. people do is restore [files] is not to run the remover capability but
  194. to reinstall software" and restore data from backups. "That is the
  195. correct way of doing it."
  196.  One company whose product scored low criticized NCSA's tests and
  197. objectivity. Commcrypt Inc., Beltsville, Md., said the Scan Plus
  198. portion of its Detect Plus software found 73 percent of 2,201 strains
  199. of viruses in a February test NCSA ran. "In a nutshell, we're not
  200. privy to the library we're tested against," said Warren Wertz,
  201. research director at Commcrypt.
  202.  It is possible that some of the files in the NCSA database are "naked
  203. viruses or benign viruses" that cannot damage data.
  204.  The NCSA database was available only to members of the Anti-Virus
  205. Program Developers consortium who paid a membership fee, said
  206. Commcrypt president William H. Landgraf. "If you're willing to pay the
  207. money - $2,000 or more a quarter - they'll provide you with the list
  208. of viruses."
  209.  In a certificate it issued to Commcrypt in February, NCSA said,
  210. "Nearly all of these [2,201] strains have rarely or never been seen
  211. 'in the wild.' Scan Plus detected all common viruses."
  212.  Commcrypt has many customers in the U.S. Postal Service and the
  213. federal courts, Wertz said. "They haven't got any viruses - that we
  214. know about - that they couldn't get rid of," he said.
  215.  NCSA and other experts acknowledge that common viruses are far more
  216. likely to cause damage. The most common viruses include strains of
  217. Jerusalem, Stoned and Michelangelo, according to both NCSA and
  218. Commcrypt. In addition, "some people estimate that 90 to 95 percent of
  219. the data lost is because of operator error." Gates said.
  220.  "I have some question about scan tests of viruses that just exist in
  221. the laboratories," said Bryan Seborg, PC and local area network
  222. security program director at the Federal Deposit Insurance Corp.
  223. Seborg is also a virus researcher and instructor at the University of
  224. Maryland.
  225.  Seborg agreed with NCSA's Gates, however, on the limited value of
  226. virus removers. "The ones that do a cleanup are not a good idea."
  227.  FDIC policy requires users to destroy infected files and reinstall
  228. software, For viruses that destroy boot records or hidden MS-DOS
  229. files, the FDIC solution is to use DOS' FDISK or SYS commands, Seborg
  230. said.
  231.  
  232. AUGUST VIRUS SCANNER TEST RESULTS
  233.  
  234. VENDOR                 PRODUCT          VERSION     SCORE
  235.  
  236. Central Point          CPAV               1.3*       94
  237. Certus                 NOVI               1.1D       95
  238. Commcrypt              Detect Plus        2.10       60
  239. Fifth Generation       UTSCAN            24.00       90
  240. Frisk Software         F-PROT             2.04       99
  241. IRIS                   CURE              20.01       93
  242. Leprechaun Software    Virus Buster       3.92       98
  243. McAfee Associates      SCAN                 93       99
  244. Microcom Inc.          Virex-PC           2.2       100
  245. Panda Software         Panscan            4.05      100
  246. RG Software            Vi Spy             9.0        97
  247. S&S International      Findviru           5.60      100
  248. Stiller Research       Integrity Master   1.23A      88
  249. Symantec               NAV                2.0*       70
  250. Trend Micro Devices    PCSCAN             2.0        91
  251. Xtree                  ViruSafe           4.6        86
  252.  
  253.  
  254. * Test was run with the August version of the vendors' virus signature
  255.   definition file, which is available to their installed base.
  256.  
  257. [ Source: National Computer Security Association ]
  258.  
  259.     [Readers of this issue of the Crypt newsletter are invited to 
  260.     comment, no holds barred, on this study and Danca's article. 
  261.     Send comments to The Dark Coffin BBS, 1-215-966-3576 or
  262.     leave mail for Couch on The Hell Pit.]
  263.  
  264.     NEXT UP: THE COMPUTER VIRUS AS A TOOL OF INDIVIDUAL EMPOWERMENT   
  265.     by THE FLIM-FLAM MAN
  266.        
  267.  
  268.     It's time to start thinking in real terms about the computer virus
  269.     as a tool for individual empowerment.
  270.  
  271.     To avoid an overly windy essay, I'm going to focus on two REAL
  272.     human examples.
  273.  
  274.     The first deals with a woman in her mid-40's who works for a small
  275.     specialty book publishing firm in the Lehigh Valley of eastern PA.
  276.     (I've kept the descriptions of individuals deliberately vague to
  277.     protect them from inappropriate attention.)
  278.     
  279.     In early 1992 she found herself sexually harassed in the workplace by
  280.     her boss, a man for whom she felt no attraction.  Unable to tell him 
  281.     to bug off, and knowing that in a small business there
  282.     was no place to turn but the street, she became enraged. So she 
  283.     planned a late night smash-and-grab raid into the office to delete 
  284.     certain key files on his personal computer.  This she did. The next 
  285.     day her boss was confused, frustrated and angry over the loss of 
  286.     his precious data. He did not hip to the fact that his work had 
  287.     been sabotaged by the woman quietly smiling in the next room. 
  288.     
  289.     Given the opportunity to use a computer virus for the job, 
  290.     it is not totally unreasonable to assume this woman would have 
  291.     seriously entertained the idea of using it as a tool of redress. 
  292.     In any case, she was a computer vandal. And not the computer vandal 
  293.     most corporate stiffs like to paint: a maladjusted, teen or 
  294.     disgruntled, shirking whiner.  Rather, she was somewhere in between; 
  295.     a reasonable worker pushed deep into a corner. As further food for 
  296.     thought: Do you think that the use of a computer virus, IN THIS
  297.     INSTANCE, would have been BAD?
  298.  
  299.     A second example: mid-level staffers at a large metropolitan corporation 
  300.     in eastern Pennsylvania have had to grapple with the installation of
  301.     a project implemented on a Macintosh desktop system. The junior 
  302.     technical administrator put in charge of bringing the system online 
  303.     has not proven up to the challenge. After two years of work, the 
  304.     system crashes daily, eats work, locks unpredictably and forces 
  305.     continued overtime on staffers who have to work around its shortcomings. 
  306.     The technical administrator is openly hostile to any suggestions 
  307.     from staffers who are compelled to use the system daily.  The 
  308.     administrator's supervisor will not listen to suggestions from 
  309.     underlings that more expert technical help is necessary. The project 
  310.     has become a costly, political hot potato; its failure would mean 
  311.     the rep of the management team that committed to it two years 
  312.     previously.
  313.  
  314.     At this point the staffers who must work with the non-functional system
  315.     daily have begun entertaining the idea of inserting a Mac virus into
  316.     the already deeply screwy system.  The rationale for use is that it could 
  317.     force a system crash which the current technical administrator could
  318.     not quickly remedy. Such a disaster might break the logjam of upper  
  319.     management arrogance and force the consultation of someone better
  320.     suited to programming of Macintosh's.  They also feel that since
  321.     viruses are anonymous, the blame would most likely fall on the
  322.     local administrator's head for allowing it to happen.
  323.  
  324.     This is another graphic example of reasonable workers who feel they've
  325.     been backed into a corner by leaders who seem dumb as stumps. 
  326.     The computer virus is viewed by the victimized as their road to 
  327.     empowerment. 
  328.     
  329.     These workers are smart enough to realize that there 
  330.     is no guarantee that a bad situation will be made better by a 
  331.     virus. But they do think that throwing a monkey wrench into the 
  332.     system, bringing it to a noisy, ugly halt, might buy some breathing 
  333.     room.
  334.     
  335.     As told here, I'm sure most readers WILL feel some empathy for 
  336.     the people above.  It's not a stretch to think of someone in the
  337.     same tight spot. And that is why, as the gap between managers and 
  338.     grunts in a our technological society becomes wider, the computer 
  339.     virus or rogue program will be seen more and more as one of THE tools 
  340.     for empowerment. 
  341.     
  342.     Anyone who works in the corporate security field should be scared 
  343.     white at this prospect. Because the hardest 'virus-droppers' 
  344.     to fight will be the the honest, determined employees, 
  345.     who become progressively alienated by the cynicism and indifference 
  346.     from an organization they work for.
  347.  
  348.     ***********************************************
  349.     NEWS BREAK! NEWS BREAK! NEWS BREAK! NEWS BREAK!
  350.     ***********************************************
  351.  
  352. NEWS clip from one of COMPUSERVE's free services:
  353.  
  354. Online Today
  355.  
  356. CANADIAN CHARGED WITH PLANTING ALDUS COMPUTER VIRUS
  357.  
  358.   (Aug. 20)
  359.   Former Canadian computer magazine publisher Richard Brandow, 28,
  360. has been accused of planting a computer virus that tainted thousands
  361. of copies of Aldus Corp. software in 1988.
  362.   According to The Associated Press, Brandow, who now writes for
  363. "Star Trek," has been charged by prosecutors in King County,
  364. Washington with malicious mischief and could face up to 10 years in
  365. on if he is convicted.
  366.   Brandow said he finds the charges surprising. "What are they going
  367. to do?" he asked, "It happened four years ago, and I am here in
  368. Montreal."
  369.   He told AP that he arranged for a message to flash briefly on
  370. computer screens that wished peace "to all Macintosh users around the
  371. s were designed to educate the public
  372. to the danger of viruses. Brandow included his name in the message so
  373. he could be contacted.
  374.   The virus made its way eventually to Aldus where it infected a
  375. master disk for producing copies of Freehand, an illustration
  376. program. After the virus was discovered, Aldus recalled 5,000 copies
  377. of Freehand and replaced another 5,000 copies it had in its
  378. inventory. The incident cost the firm $7,000.
  379.   Ivan Orton, King County senior deputy prosecuting attorney, told AP
  380. it was the first time the state has brought such criminal charges. He
  381. also said he believes the incident was the first time a virus had
  382. tainted commercial software.
  383.   For more news from The Associated Press, consult the Executive News 
  384. Service.(GO APONLINE).
  385.   --Cathryn Conroy
  386.  
  387. [URNST KOUCH butts in:  In this story, reporter Conroy is refering
  388. to the MacMag Peace virus, commissioned by Brandau, then the editor of MacMag
  389. magazine. Its trigger date of March 2, 1988, was the 
  390. first anniversary of the Mac II - at which time the virus displayed
  391. the universal peace sign, or something to that effect. After Mar 2,
  392. the virus erased itself. Why do the authorities always come up with
  393. a charge YEARS later; a day late and a dollar short, so to speak? And by the
  394. way, it is spelled "Brandau."]
  395.  
  396.   IN SEARCH OF TROJAN PROGRAMMING or CRYPT NEWSLETTER's CAMPAIGN
  397.   AGAINST THE UNRESTRICTED FLOW OF PC PORNOGRAPHY
  398.  
  399.   A good deal of this issue is devoted to helping the reader optimize
  400.   his planned trojan programs for real world success.
  401.  
  402.   Let's face it, trojans which blindly sack the fixed disk and
  403.   contain unencrypted, embedded ASCI strings like "You're fucked now,
  404.   lamer!! Ahahahahaha!" don't cut it in the real world.  Of course,
  405.   such trojans will always work against the PC initiate. But admit it, 
  406.   that's about as much good sport as shooting fish in a barrel. No 
  407.   challenge, no style.  Far better to just put a ballpeen hammer through 
  408.   the monitor and do some real damage.
  409.  
  410.   A good trojan should distract the user. It should, perhaps, display a
  411.   fine graphic, send a cryptic error message to the monitor, or 
  412.   appear to do . . . nothing.  Good trojan programmers never stoop to that
  413.   old bromide, "You're fucked now, lamer!!"
  414.  
  415.   So, to start, you will want to subscribe to Lee Jackson's HACK REPORT,
  416.   available at too many public electronic archives to count.
  417.   It's a fine guide and tells you just what's out there; it even
  418.   chronicles the more successful trojans. It is GOOD FOR IDEAS.
  419.  
  420.   For example, in the pd world, many were duped by the XTRATANK trojan,
  421.   a genuinely clever and twisted set of programs that promised to
  422.   double a user's disk space free of charge. In reality XTRATANK placed 
  423.   Michelangelo and Stoned virus onto the machine in two discrete steps. 
  424.   XTRATANK batted directly to the average user's weakest spot: The 
  425.   desire to gain something for nothing!
  426.   
  427.   Upon installation, a portion of Michelangelo's code was copied 
  428.   to the boot block of the disk. This was not enough to trigger any scanner.  
  429.   After the user realized the program was doing nothing for him, he would 
  430.   uninstall it, probably using the de-installation software.  
  431.   The de-installation software copied the remainder of Michelangelo 
  432.   to the boot block and inserted Stoned into memory.  At this point, 
  433.   a scan run reveals something seriously wrong.  Many were sucked in by 
  434.   XTRATANK.
  435.  
  436.   But maybe you don't have the time or the will to come up with
  437.   an XTRATANK.  Consider making trojans out of pornographic files.
  438.   It's easy, the trojans are simple to put into the wild and 
  439.   serve a purpose: they burn users whose sexual tastes run to the
  440.   bizaare. For this purpose, I've included  the code to a flashy, but crass,
  441.   display which writes an animated ANSI of a squirting gland directly to 
  442.   the video page. Then it crushes the drive.  The ANSI was converted 
  443.   into code suitable for direct video writes by the most recent version 
  444.   of the LAUGHING DOG screen maker.  The utility of this code is that
  445.   ANSI.SYS does not have to be loaded, the graphic effect will take
  446.   quite nicely without it. (See the appendix file: PENIS.ASM.)
  447.  
  448.   A second trojan is an update of CORRUPTO, something I designed
  449.   using VCL 1.0. CORRUPTO 2 will display the error message "Cannot
  450.   open lezbosex.dat/Critical errorlevel=25"  when executed and 
  451.   then drop a small proprietary Crypt program which can surgically 
  452.   rewrite the partition onto an executable in the current directory. 
  453.   Include CORRUPTO in an archive with at least one other V-loader of 
  454.   wimmen getting it on with each other or something similar. (The idea 
  455.   here is that Lesbian loaders are a hot download. It's true, they just 
  456.   blow right out the door.) The user runs the first loader in the archive
  457.   and gets an eyeful. He starts polishing his knob and runs CORRUPTO 2. 
  458.   Nothing but the error. Damn! Some cretin took the .DAT file out of 
  459.   the archive, he thinks! Stupid pirates! (Don't forget to include 
  460.   another dummy .DAT file for the real program, to make the sham filth 
  461.   seem even more real.)
  462.  
  463.   In reality, a partition bomb is now installed upon CORRUPTO, 
  464.   the other V-loader, and any other executable in the directory. 
  465.   When any one of these is invoked, the partition table on the C drive 
  466.   of any 80286 and up machine will be silently and quickly rewritten.  
  467.   The results will be somewhat disruptive to the days computing activity,
  468.   UNLESS the user has a back-up image of the partition saved off disk and
  469.   the wit to reload it.
  470.  
  471.   There are other benefits in creating trojans for porn directories.
  472.        
  473.        1] Victims never squeal. Most Americans are far too neurotic to
  474.        admit something bad happened to them while they were watching "dirty"
  475.        sex. Its like confessing to your girlfriend you have a problem 
  476.        with horrible anal itching. It's just not done. So they may not even 
  477.        inform the sysop, giving your trojan longer shelf-life.
  478.  
  479.        2] Such trojans are deceptively simple to upload to 'adult'
  480.        directories, the bigger the better.  Large adult directories
  481.        aren't well-supervised.  Let's face it, even the biggest
  482.        pervert doesn't have enough time in the day to keep track
  483.        of all the squamous product he stocks. Do you think he's gonna look
  484.        at yours closely? Bet against.
  485.  
  486.        3] Such trojans will not show up in The Hack Report. Lee Jackson
  487.        does not cover this angle, for obvious reasons.
  488.  
  489.        4] It puts you on the Republican side in the war on porn. You
  490.        can be smug, like them, in knowing that YOU ARE DOING THE
  491.        RIGHT THING when stomping on those presumed vile by the Moral
  492.        Majority. Heck, you might even strike a few Republicans 
  493.        anonymously in this manner.  
  494.        
  495.        5] Think of the kid who's gonna have to explain to his Dad
  496.        why the PC in the study room just went down. You could be steering
  497.        the boy in the right direction by discouraging him from tieing up the
  498.        phone and blowing valuable online time downloading more filth.
  499.  
  500.    But pd trojans have their place, too. To that end, Crypt Newsletter
  501.    has included the DEBUG script to BATCOMPI.COM, a very effective
  502.    BAT2EXE trojan.  BATCOMPI will, indeed, compile your .BAT files
  503.    into flawless .COM's.  However, don't make a mistake when editing
  504.    your .BATfile!! BATCOMPI will point out the line number and then 
  505.    punish the drive with a heavy stick.  Also included are the
  506.    convincing, BUT COMPLETELY BOGUS, docs for BATCOMPI, written by 
  507.    "Ned Turnquist."  Be sure to include these with BATCOMPI, wherever 
  508.    it goes, to further give it that right patina of legitimacy. (Like 
  509.    XTRATANK, BATCOMPI strikes at the greed of users who wish a 
  510.    "free lunch.")
  511.  
  512.    And also for your trojan programmer's toolkit, a DEBUG script of
  513.    NOWHERE MAN's CRYPTCOM utility.  CRYPTCOM serves many purposes.
  514.    Use it to put an encryption shell over your trojan, in the
  515.    event that someone might look at it with CHK4BOMB. Use it to
  516.    put an encryption shell on an old virus that you'd like to
  517.    get past an initial run by an up-to-date scanner.
  518.    
  519.    [Also in this issue, a DEBUG scipt of the CASINO virus. The
  520.    CASINO virus is a very fine program, but, unfortunately, it scans.
  521.    If you want to get CASINO past the original round of scanning on
  522.    any machine, CRYPTCOM it.]
  523.  
  524.    CRYPTCOM is merely part of Nowhere Man's Nowhere Utilities 2.0
  525.    software package.  If you find it helpful, you'll want to dash
  526.    out and obtain the complete package at places like The Hell Pit
  527.    or the BBS's listed at the end of The Crypt Newsletter.
  528.  
  529.    [For assembly, take the DEBUG script for the appropriate trojan,
  530.    virus, or utility listed in the newsletter appendices and
  531.    go to the C:\> prompt.
  532.  
  533.    Type, DEBUG <*.scr, where the wildcard is the name of the appropriate
  534.    script. Then <enter>. If DEBUG is in your path, 
  535.    the CASINO virus, BATCOMPI, CRYPTCOM, or NUKEX should now be assembled 
  536.    and sitting in the current directory, ready for use.
  537.  
  538.    NUKEX? "What's that, URNST?" I hear you screech.  NUKEX is a bonus
  539.    trojan! Invoking NUKEX will immediately abolish the directory
  540.    structure on the C: drive of any machine and along with it,
  541.    all the files on the disk.  NUKEX is heavily cushioned for error
  542.    and will gracefully exit to DOS if something unforseen occurs.
  543.    (However, this is unlikely.) NUKEX is completely silent, too.  
  544.    Recommended uses: as a stand-alone rabbit-punching program or
  545.    for inclusion as a 'dropped' payload, deposited by virus or
  546.    trojan.  NUKEX can be deployed as a subroutine in any
  547.    virus, too. [NUKEX can easily be configured to erase any drive, but
  548.    the copy included with the Crypt Newsletter is good ONLY for
  549.    the C: drive.] I have passed along the source code to Nowhere Man
  550.    who is reviewing it for inclusion in the VCL 2.0.
  551.    NUKEX does not format or overwrite the affected drive. It does
  552.    however, present the user with the unpalatable job of "unerasing"
  553.    hundreds, if not thousands, of files and directory entries.
  554.  
  555.    NUKEX user note: if invoked from a floppy disk, NUKEX will
  556.    abolish the directory structure on a fixed disk, leaving itself
  557.    intact. If invoked from anywhere on the fixed drive, NUKEX will
  558.    erase itself in the process of deleting the entire disk. So make
  559.    sure you have a backup.]
  560.  
  561.    These programs and utilities should prove helpful if you are 
  562.    considering going into the 'trojanizing' business. Remember:
  563.    The right tools for the right job!!
  564.    
  565.    ***********************************************
  566.    THE FIRST CRYPT NEWSLETTER NATHAN HALE AWARD!!!
  567.    ***********************************************
  568.    
  569.    Goes to Hans Von Braun, chief sysop for the COMSEC BBS in San Francisco.
  570.    
  571.    Our hats off to Von Braun, a member of the National Computer Security
  572.    Association who seems to firmly believe that bulletins like 40HEX
  573.    magazine should be made freely available to any interested party.
  574.  
  575.    Since 40HEX describes in detail tricks of virus development, Von Braun
  576.    writes in a recent issue of the NCSA NEWS (a reprint of which was passed
  577.    along to us here at Crypt's editorial bungalow), "We [have been] told
  578.    that there are only a handful of people in the world that should have
  579.    this information; they are antivirus program developers."
  580.  
  581.    Von Braun writes earlier, "I believe it is better for
  582.    you to HAVE the information than not to have the information."
  583.  
  584.    Now, please go back to the statement "there are only a handful of
  585.    people in the world that should have this information." Whew!
  586.    That's a grand claim! It almost makes virus code sound more
  587.    dangerous than nuclear secrets.  Of course, you, the Crypt reader
  588.    know this to be patent bullshit.  And, apparently, in some manner
  589.    so does Mr. Von Braun.
  590.  
  591.    There are two reasons which come to mind when explaining the a-v
  592.    developers' dumbo rationale for the "eat-your-peas, we know what's best,
  593.    no virus code for you" rule. They are:
  594.  
  595.        1]. They really DO believe, in some Luddite way, that letting
  596.        people onto this stuff instigates virus propagation. They DO
  597.        believe that the average lumpen prole is too irresponsible to
  598.        handle code correctly. This is very Republican and corporate,
  599.        and although extremely deluded, easy to grasp. It is soothing
  600.        balm to many clients' ears.
  601.  
  602.        2]. And the real kicker: This info
  603.        falls into the realm of "proprietary" secrets.  Giving away
  604.        proprietary information increases your competition, 
  605.        hurts your market advantage, and is, in general, bad for the
  606.        pocket book because it will spawn users who don't require you
  607.        to hold their pecker for them when they encounter a virus.
  608.  
  609.    So, kudos to Mr. Hans Van Braun for his "interesting" stand.
  610.    We include his mailing address here so that you might send
  611.    your opinion to him on this matter:
  612.  
  613.                  123 Townsend Street
  614.                  Suite 555
  615.                  San Francisco, CA  94107
  616.  
  617.     ****************************************************************
  618.     AND THE CRYPT NEWSLETTER's US NEWS & WORLD REPORT IRAQI COMPUTER
  619.     VIRUS PRIZE FOR THIS MONTH . . .
  620.     ****************************************************************
  621.     
  622.     Goes to Michael Callahan (alias Dr. FileFinder), editor of SHAREWARE 
  623.     MAGAZINE. Even after a two issue series interviewing John McAfee,
  624.     Callahan still believes that viruses can permanently damage the
  625.     hard disk. (Talk about dense.) Now you can argue with me on this one, 
  626.     but show me a user who claims his machine was irrevocably damaged 
  627.     by a virus and I'll show you a user too embarrassed to admit 
  628.     he "Pepsi syndrome'd" himself. 
  629.     
  630.     And Patricia Hoffman's virus library IS NOT the national computer
  631.     virus library, Mike.  It may be a big library, but it's not the
  632.     government's, it's not open to private citizens (like national
  633.     libraries) and it is not similar to the American Type Culture
  634.     Collection (ATCC) which is the U.S. clearinghouse for real-live
  635.     microbes of the natural kind. 
  636.     
  637.     ********************************************
  638.     AND THE CRYPT NEWSLETTER VIRUS OF THE MONTH:
  639.     ********************************************
  640.     
  641.     The CASINO virus - from the island of Malta.
  642.  
  643.     The CASINO virus is a memory resident .COM infector.  It will
  644.     infect COMMAND.COM and will infect .COM files on the internal
  645.     DIR function, DIR function called by any other program and
  646.     when clean files are opened for any reason.
  647.  
  648.     When CASINO is resident, infected files will show only very small 
  649.     increases in file size, although the virus is not true "stealth."
  650.  
  651.     The interesting trait of CASINO is its activation:  On any January 15,
  652.     April 15, and Aug. 15, CASINO will display the following message:
  653.  
  654.     "DISK DESTROYER * A SOUVENIR OF MALTA
  655.     I have just destroyed the FAT on YOUR DISK!
  656.     However, I have a copy in RAM and I'm giving you one last
  657.     chance to restore your precious data!
  658.     WARNING: IF YOU RESET NOW ALL YOUR DATA WILL BE LOST - FOREVER!
  659.     Your data depends on a game of JACKPOT.
  660.  
  661.     CASINO DE MALTE JACKPOT"
  662.  
  663.     CASINO will then compel the user to play a game of chance.  If he
  664.     loses, the FAT is destroyed.
  665.  
  666.     When I described this to Mrs. URNST KOUCH, she said, "That's evil."
  667.  
  668.     A DEBUG script of the CASINO virus is included with this issue of
  669.     the Crypt Newsletter. Enjoy your copy of CASINO virus.
  670.  
  671.     PALLBEARER's KONSUMER KORNER: THE TERM PROGRAM FOR VIRUS COLLECTION
  672.  
  673. /********** FACILITATION OF VIRUS COLLECTION I: THE TERM PROGRAM *************/
  674.  
  675.       The entire focus of this small article is intended
  676.     to save you and your SysOp time and money in the virus trade. This, num-
  677.     ber one in the series, is designed to help you find the best terminal
  678.     program for your needs. It reflects solely my opinion, but I am
  679.     sure you will find it valuable.
  680.       In the spirit of 'Consumer Reports' and Ralph Nader, I have parked
  681.     myself in front of the computer during much of my spare time to compile
  682.     this report (I know, REAL hard work...). So, without further adieu:
  683.  
  684.                                   -*-
  685.  
  686.                        PALLBEARER'S GUIDE TO "TERM"
  687.  
  688.  
  689.  
  690.       (Yeah, I know it's a stupid name, but hey, I'm the author, I'm
  691.     allowed to do stupid things.)
  692.  
  693.                                   -*-
  694.  
  695.                 First, my old standby: Procomm Plus 2.01
  696.  
  697.       Well, I have been using a version of Procomm Plus since I started
  698.     collecting virii, and BBSing, for that matter. Many people find
  699.     ProComm to be clumsy. I, personally, enjoy it. Overall, it has two major
  700.     flaws: One - it only supports 3 external protocols; two - it does
  701.     not support AVATAR. Beyond this, I find it very versatile. It
  702.     DOES support many internal protocols, including ZMODEM, XMODEM-CRC, 1K,
  703.     and 1K-G; YMODEM and G, plus a host of other "lesser knowns" such as
  704.     SEAlink, WXMODEM, IMODEM, and, of course, KERMIT, which is run as
  705.     an external. I find the internal ZMODEM inadequate, thus I
  706.     retain DSZ as an external protocol, which I have configured for
  707.     MobyTurbo. HS/Link and Super-Zmodem are also easily supported. On the
  708.     plus side, PCPlus provides COMPUSERVE B+, the famous information
  709.     exchange's protocol of choice. And one BIG feature is the pulldown menus
  710.     from which everything can be configured. With PCPLUS, the only time
  711.     one must ever make use of the install program is if you desire an
  712.     easier way to change modem config and COM ports. PCPLUS also
  713.     supports a Keyboard file for easy user remap, and has a wonderful
  714.     internal utility that speeds up the keyboard of an AT or above. 
  715.     The whole ball of wax, including colors, is configurable from the 
  716.     menus. Of course, the internal split-screen chat is also accessed
  717.     this way.
  718.       The host mode, for you menu fanatics, leaves much to be desired,
  719.     but works nonetheless; those of you desirous of running BBS through
  720.     Procomm Plus Host, however, should remove your collective thumb
  721.     from your ass and get a life.
  722.       Last, the big question with many PC users today: the SPACE. Well,
  723.     Procomm requires over a Meg of space BUT I would allocate 2.5 Megs on
  724.     my drive for it: this includes constant screen captures and little down-
  725.     loads here and there that seem to be forgotten about. For me, space
  726.     is no object, but for many users this problem is one that is
  727.     paramount.
  728.  
  729.                                   -*-
  730.  
  731.                                Qmodem 5.0
  732.  
  733.       Ahh, the term software that sounds like a transfer protocol. After
  734.     testing this package, my only compliment is that it supports plenty
  735.     of external protocols, shrinks out for a DOS shell, supports AVATAR,
  736.     and is frugal on my hard drive. But my REAL advice to those of you who
  737.     have a Qmodem archive? Delete it. This is one of the worst and
  738.     clunkiest terms I have EVER seen. It displays a nice ANSi at startup,
  739.     and has a colorful install program (sort of reminded me of that of
  740.     Windows 3.1), but otherwise bites the big one. I was constantly referring
  741.     to the help screen, since none of the hotkeys from other terms were
  742.     represented (save for the standard PAGEUP/PAGEDOWN file xfers).
  743.     A plus: file transfer data screens are very informative. However,
  744.     this, too, is tainted by a generally hard-to-navigate interface. I will
  745.     admit I did not spend a lot of time with Qmodem, time I still
  746.     regret wasting.
  747.       A final bonus: Qmodem 5.0 features a superior host
  748.     mode with great menus, etc, but only 2 security levels. Well, what do you
  749.     expect from a term program's host, anyway? I repeat myself: If you
  750.     choose a term for its host mode, your thumb smells strangely of shit.
  751.  
  752.                                   -*-
  753.  
  754.                               COM-AND 2.8
  755.  
  756.       I am surprised to admit I was pleased with this SHAREWARE program. It
  757.     incorporated many of the keys of the best of the "off-the-shelf" out
  758.     there. COM-AND also has a hotkey for ASCII download, which will play
  759.     your session back to you later just like a tape recorder. Nice. Or it
  760.     can be speeded up with a simple keystroke to simply scroll across the
  761.     screen. The dialing directory, always an important part of any term,
  762.     was limited in size to 100 entries, but, then again, who keeps 100
  763.     entries in the dialing directory (before you say 'ME!,' look and see
  764.     when the last time you called some of those BBSes was...)? The directory
  765.     gave me a feeling of deja vu, too. It is faintly reminiscent of those
  766.     early releases by DataStorm. The documentation was thorough, and
  767.     an EXCELLENT help screen could be accessed by striking F10.
  768.       One major feature found in COM-AND and in many other "bare-bones"
  769.     terms, is control and configuration almost exclusively
  770.     by script. All of the major configuration files were written
  771.     in plain English, and could be easily modified in the internal editor,
  772.     reached by simple hotkey.
  773.       Another thing that caught my attention, and it should've caught yours
  774.     while reading this report, is that EVERYTHING has a simple hotkey.
  775.     This can be good or bad. The drawback: While you are learn-
  776.     ing the software you must constantly refer to the helpscreen. This will
  777.     cost you time, and time is money (Ma Bell does not come
  778.     cheap). I suggest picking a group of local BBSes and learning COM-AND on
  779.     those while sticking with another, more familiar term, for LD.
  780.     I guarantee, however, as you improve with time, you will notice
  781.     a marked preference for COM-AND while LD calling; you'll be pleased by
  782.     the ease of use and timesaving brought to you by the hotkeys.
  783.       COM-AND also features one more perq: Encryption. All of its user
  784.     script files (logon/logoff, etc) are saved in the .CMD format, which
  785.     as the docs say, prohibit "casual perusal" from people looking for
  786.     passwords, etc. This makes it an excellent candidate for use on a
  787.     multi-user system. All of these are decrypted in memory and may be
  788.     easily edited in the internal editor. Macro and other files are not
  789.     automatically encrypted, but may be garbled manually with a hotkey.
  790.       As for file transfers, COM-AND features all of the major protocols
  791.     (XMODEM, YMODEM, YMODEM-G, CIS-B and B+ enhanced, and, of course, ZMODEM),
  792.     but it leaves much to be desired in the fact that it does not
  793.     (or so it seems) support external protocols. (COM-AND supports external
  794.     additions through an "accessories" menu. It works well but is
  795.     not particularly user-friendly. -Ed.) Now, this is easy enough to 
  796.     fix, write yourself batch files and drop to DOS for your file
  797.     transfers. For those few who find this too difficult (or time consuming
  798.     for bad typists), then either live with the internals, or COM-AND is
  799.     not for you. COM-AND also features an internal Kermit server.
  800.       Overall, I prefer Procomm Plus, thank you very much,
  801.     because of the fact that COM-AND implements externals poorly. Other-
  802.     wise, COM-AND is flawless; a wonder in its configurability.
  803.     Even the nag screen doesn't bother me, all it wants you to do is hit
  804.     a key, and I have to do that with Procomm after it initializes the modem.
  805.     I do consider COM-AND good enough to register!
  806.       It can be picked up from your local pd BBS.
  807.  
  808.                                   -*-
  809.  
  810.                              Telemate 3.01
  811.  
  812.       Last but not least is another shareware answer to term,
  813.     in the spirit of Apogee's Trilogies comes Telemate 3.01, which, like
  814.     Qmodem 4.5 (I tested the registered version, 5.0) and COM-AND, 
  815.     is shareware. Also, along the Apogee lines, Telemate is a superior 
  816.     term program. It supports multiple externals, multiple common and 
  817.     uncommon protocols,  and many different emulations including my 
  818.     'must have', AVATAR.
  819.       Telemate has one queer feature - it plays music to you.
  820.     That's right! I sat down for the first time with Telemate (incidentally,
  821.     I did not receive the data files for the built-in tutorial, so this 
  822.     critique is limited), and did a file transfer, the point of this
  823.     report. When it was completed, I knew my computer meant business
  824.     because it began to play the theme from 'Jeopardy' when I 
  825.     didn't press a key fast enough for Telemate's liking. Later, I 
  826.     discovered this song could be changed during installation. Speaking of
  827.     which, my biggest complaint with Telemate: all of the major
  828.     settings had to be changed from the config program, which was not 
  829.     available on the fly. Also, the Pulldown bar is always exposed
  830.     and includes a status bar at the bottom, giving the user only 23 lines. 
  831.     (As far as I could tell, it was simplest to leave it this way.)
  832.     One unique plus to Telemate is its split-screen and box effects, as 
  833.     though it's being run under Windows. For instance, it is possible 
  834.     to view a text file or the redisplay buffer in one window and have 
  835.     the term in the main window. It is also possible to edit a text 
  836.     or script file in a window with the term in another. I find this a 
  837.     BIG plus to anyone using a term program; it will greatly facilitate 
  838.     your time online.
  839.       Last, I must comment on the dialing directory. Frankly,
  840.     it stunk. The default colors were horrible, and editing the entries was
  841.     a mess. Also, it requires 3 or 4 keystrokes to dial an entry, rather
  842.     than one stroke needed for most terms. The dialing directory also had
  843.     annoying habit of coming up as soon as Telemate was called. Thus,
  844.     if you simply needed to send a string to your modem, you had to wait until
  845.     after initialization and then exit from the dialing directory - or 
  846.     start dialing a BBS in Europe and not even realize it (and the
  847.     author of Telemate refuses to pay phone bills incurred in this manner...
  848.     sheesh, what a pain...).
  849.       All in all, I found Telemate to be an acceptable term program and would
  850.     switch in a second, if the dialing directory were improved. Well,
  851.     there's always next release, for tomorrow is another day (fiddle-dee-dee).
  852.  
  853.                                   -*-
  854.                               
  855.                                {COMMO} 5.3
  856.  
  857.  
  858.       For all the manly men in the virus collecting community, Fred 
  859.     Brucker's assembly-coded term program could be for you. COMMO's 
  860.     strong points are its raw, unsurpassed speed of operation, extremely 
  861.     small kernel when shelling to DOS and powerful master macro utility
  862.     which controls all functions in simple, intuitive one-stroke
  863.     hotkeys. Alt-D - dial! PageUP - upload! Alt-X: BE GONE! COMMO
  864.     also takes up almost NO space on a hard drive. Hey, even a
  865.     steroid-gobbling idiot can use COMMO! 
  866.       COMMO's disadvantage (and it's one that weenies will be leary of):
  867.     It supports only Xmodem and Ymodem internally. The good news: Zmodem,
  868.     HS/Link and Compuserve B+ are ready for your use. Just drop the 
  869.     programs into the COMMO directory and they are, almost magically, 
  870.     ready for work WITH NO USER CONFIGURATION REQUIRED.
  871.       As shareware, COMMO is quite reasonably priced: $25 cash money.
  872.     Shelling out a little more gains a host of COMMO-ready scripts which
  873.     activate a mini-host and a number of other somewhat useless utilities. 
  874.  
  875.  /*
  876.   * Well, I do hope you enjoyed this small romp through this vail of tears,
  877.   * er, terms. Be on the lookout for next issue's guide to transfer 
  878.   * protocols: and remember, it's good stuff, because I'm not only a 
  879.   * CryPt SysOp, I'm also a member. Acknowledgements to authors and 
  880.   * ordering info for each reviewed program is found below.
  881.   *                                    
  882.   *                              -Pallbearer [CryPt]
  883.   *                                    
  884.   */
  885.  
  886.  
  887.   PROCOMM PLUS 2.01:  Copyright (c)1987, 1991, Datastorm Technologies.
  888.  
  889.          QMODEM 5.0:  Copyright (c)1992, Mustang Software
  890.  
  891.         COM-AND 2.8:  Copyright (c)1991 CABER software (R. Scott McGinnis).
  892.                       Available through PLINK, GEnie, UNISON, NWI, Delphi,
  893.                       and CompuServe.
  894.  
  895.       TELEMATE 3.01:  Copyright (c)1988 - 1992, White River Software.
  896.                       CompuServe in IBMCOM forum Library 3/Comm program.
  897.                       FidoNet requestable from 1:2202/1 as 'telemate'.
  898.  
  899.         {COMMO} 5.3:  Copyright (c)1989, 1992; Fred P. Brucker               
  900.                       On CSERVE, go IBMCOM, Library 3/Comm programs.
  901.         
  902.                       -Hey, you find this boring, but what if you ever
  903.                           WANT to get a copy of one of these?
  904. ****************************************************************************
  905.     
  906.     ADDITIONAL USER NOTES ON PROGRAMS INCLUDED WITH THIS ISSUE OF
  907.     THE CRYPT NEWSLETTER - A SERVICE TO THE TERMINALLY STUPID BECAUSE
  908.     WE CARE
  909.  
  910.     The CORRUPTO script will produce CORRUPTO.COM. In 'heuristic' mode,
  911.     F-PROT 2.05 flags CORRUPTO as containing routines which search for 
  912.     .COM and .EXE files, possibly indicative of a virus.  This is
  913.     true and gives you a good excuse to run CRYPTCOM on CORRUPTO after
  914.     manufacture and see how it cleans this problem up.  In addition,
  915.     you might want to consider touching up the size (CORRUPTO is less
  916.     than 1k, hardly convincing as a simple V-loader.) and date/time stamps
  917.     on the trojan. For those tasks, you'll need the rest of Nowhere Man's
  918.     Nowhere Utilities 2.0.  I'm sure you'll want to get them and see how
  919.     easy they make these mundane chores for yourself.
  920.     
  921.     [On F-PROT 2.05: Fans of this program, and I am one, are probably
  922.     somewhat bemused by its increasingly skitzy performance, which
  923.     Skulason duly notes in F-PROT's expanding 'bug reports.' 2.05 is
  924.     incrediby slow and sometimes hangs when analyzing files 
  925.     heuristically, destroying much of this feature's utility for the
  926.     average user. And occasionally 2.05 does not appear to scan memory 
  927.     at all on my machine. Geezus.] 
  928.     
  929.     You can also "tickle the dragon's tail" with CORRUPTO. Place it in
  930.     a directory by itself and execute it. CORRUPTO will install a drive bomb
  931.     on itself in a trice, display an error message, beep once and return
  932.     you gracefully to the DOS prompt.  This is just as things will appear
  933.     to the pigeon. DO NOT RUN CORRUPTO AGAIN!! (Unless you want to replace 
  934.     the partition on your fixed disk, anyway.) Delete the file and prepare 
  935.     your original copy of CORRUPTO (you did make a backup, didn't you?) 
  936.     for its trojan archive.
  937.  
  938.     THE NUKEX script will generate NUKEX.COM. NUKEX.COM can be flagged
  939.     by F-PROT 2.04 as 'suspicious' because it contains a recursive
  940.     search mechanism. Don't forget to use CRYPTCOM if you want to
  941.     avoid all possibility of this.
  942.  
  943.     For further info on the Nowhere Utiltities CRYPTCOM, see the 
  944.     accompanying appendix, CRYPTCOM.DOC. Meanwhile, see this 
  945.     final ad:
  946. *****************************************************************************
  947.     The Nowhere Utilities v2.0 are finally out!  v2.0 includes several bug
  948. fixes and improvements, in addition to three new utilities:
  949.  
  950.         o    DECRYPT:   Decrypts data encrypted with most 8- and 16-bit
  951.              encryption schemes, usually in under 10 seconds!
  952.  
  953.         o    FAKEWARE:  In just a few minutes, FAKEWARE will generate
  954.              a totally bogus ware, right down to the ZIP comment and
  955.              .NFO file by a famous cracking group.  Great for distributing
  956.              new virii and trojans.
  957.  
  958.         o    USER2TXT:  Converts a Telegard v2.5/v2.7 or X-Ot-Icks v3.8
  959.              user list to a readable ASCII file.  Useful for on-line
  960.              reference while hacking...
  961.  
  962.     Get the Nowhere Utilities today!  A fine set of programs to help the
  963. corrupted programmer develop and spread his creations.  Useful to just
  964. about anyone at one time or another.  From the author of Virus Creation
  965. Laboratory.
  966.  
  967. [NuKE] Release [NuKE] Release [NuKE] Release [NuKE] Release [NuKE] Release
  968. *****************************************************************************    
  969.     
  970.                                   
  971.                                     -*-
  972.     
  973.     Closing quote for the day:
  974.  
  975.          "Remember, boys and girls, to put your roller skates away 
  976.          at the TOP of the stairs."
  977.                                     --Soupy Sales
  978.                                     
  979.                                     
  980.                                     -*-
  981.     
  982.     This issue of the Crypt Newsletter SHOULD contain the following 
  983.     files:
  984.  
  985.            CRYPTLET.TR5 - this document
  986.            PENIS.ASM - MASM/TASM compatible source listing for the PENIS
  987.                        trojan
  988.            CORRUPTO.SCR - DEBUG script for the CORRUPTO 2 trojan
  989.            NUKEX.SCR - DEBUG script for the bonus trojan/util, NUKEX
  990.            CRYPTCOM.SCR - DEBUG script for Nowhere Man's CRYPTCOM 
  991.                           trojan/virus toolkit utility, Nuke 
  992.                           International Software, Inc.
  993.            CRYPTCOM.DOC - documentation and user notes for CRYPTCOM
  994.            CASINO.SCR - DEBUG script for the CASINO virus
  995.            BATCOMPI.SCR - DEBUG script for BAT2EXE trojan program
  996.            BATCOMPI.DOC - 'fake' documentation for BATCOMPI trojan program
  997.            ASM.BAT - ancillary file to accompany BATCOMPI.DOC
  998.  
  999.     If any of these files are missing, demand upgrade!
  1000.  
  1001.     As usual, current and complete issues of the Crypt Newsletter can
  1002.     be obtained at the DARK COFFIN BBS. Here at the newsletter, we welcome
  1003.     your comments and contributions, so, until next time . . .
  1004.  
  1005.     I remain your obedient servant,
  1006.  
  1007.     URNST KOUCH
  1008.  
  1009.      ╔════════════════════════════════════════════════════════════════════╗
  1010.      ║ This V/T info phile brought to you by Çτÿ₧,                        ║
  1011.      ║ Makers/Distributors/Info Specialists in Phine Viruses/Trojans.     ║
  1012.      ╠════════════════════════════════════════════════════════════════════╣
  1013.      ║ Dark Coffin ···················· HQ/Main Support ··· 215.966.3576  ║
  1014.      ╟────────────────────────────────────────────────────────────────────╢
  1015.      ║ VIRUS_MAN ······················ Member Support ···· ITS.PRI.VATE  ║
  1016.      ║ Callahan's Crosstime Saloon ···· Southwest HQ ······ 314.939.4113  ║
  1017.      ║ Nuclear Winter ················· Member Board ······ 215.882.9122  ║
  1018.      ╚════════════════════════════════════════════════════════════════════╝
  1019.  
  1020.  
  1021.  
  1022.  
  1023.  
  1024.  
  1025.  
  1026.  
  1027.  
  1028.  
  1029.  
  1030.