home *** CD-ROM | disk | FTP | other *** search
/ Mega CD-ROM 1 / megacd_rom_1.zip / megacd_rom_1 / VIRUS / GUARD1C.ZIP / GUARDIAN.TXT < prev   
Text File  |  1989-11-12  |  54KB  |  1,033 lines

  1.   ----------------------------------------------------------------
  2.   |                       THE GUARDIAN LIST                      |
  3.   |                                                              |
  4.   |       -- An Uploaded Trojan/Virus Program Alert List.        |
  5.   |          This list is distributed thru FidoNet and           |
  6.   |          LCRNET.                                             |
  7.   ----------------------------------------------------------------
  8.   |                                 Issue #1:      Sept 25, 1989 |
  9.   |                                                              |
  10.   |                                 Revision Stage 'B'           |
  11.   |                                                              |
  12.   |Compiled by Sysops of FidoNet and LCRNET and other sources    |
  13.   |Edited by Tom Sirianni of FidoNet 105/301                     |
  14.   ----------------------------------------------------------------
  15.  
  16. Introductory Note:
  17.  
  18. This Trojan Alert List is dedicated to the efforts of the End User
  19. and the Sysop who have had very little support. Now, through The
  20. Guardian List, those Users/Sysops stand a chance in the fight
  21. against  worms, trojans, and viruses, reporting the results to you,
  22. the User. It is because of the efforts of many Sysops who have
  23. spent countless hours to have a BBS online and because of the End
  24. Users who love PD and ShareWare programs that this list is
  25. presented and aggressively maintained.
  26.  
  27. Although there are other lists available, the Guardian is the only
  28. list that is constantly maintained and distributed through
  29. FidoNet's SDS network, assuring its distribution internationally in
  30. a matter of days. Much of what goes into The Guardian List comes
  31. from the DIRTY_DOZEN echo conference. Within this conference are
  32. Sysops and Users from around the world who help in the
  33. determination of what are and are not trojans/virii. There are also
  34. groups in Colleges abd Universities around the country
  35. participating in the List's development and maintenance.
  36.  
  37. What's in the future? As the SDNet/Works! (The Shareware
  38. Distribution  Network) takes affect, you will see fewer attacks on
  39. Sysops as files are distributed through a controlled source, direct
  40. from the Authors. Until this concept is fully mobilized, The
  41. Guardian List will be here to help you, the Usesr and the Sysops,
  42. including those Sysops not in FidoNet or LCRNET.
  43.  
  44.                                    Tom Sirianni
  45.                                    SCP Business BBS
  46.                                    FidoNet 105/301
  47.                                    LCRNET 1010/0
  48.  
  49. SCP Business BBS, nor its Sysop or Editor, assumes any
  50. responsibility  for the validity or completeness of this list. Many
  51. sources contribute to the list, and it is very possible that one of
  52. the reported files works perfectly and is in the Public Domain.
  53.  
  54. But all the same, it is quite possible that a mistake will slip in
  55. somewhere. Since this is the case, please keep in mind while
  56. reading  this list that, however unlikely, it is possible that I am
  57. (or my sources  are) incorrect in any accusation.
  58.  
  59.  
  60. Note: ** Some TROJANS are designed to work only on [Hard] Drives **
  61.  
  62.  
  63. HELP FROM USERS REQUESTED:
  64.  
  65. Users upload bad software to hundreds of boards every day, and
  66. often times, the software is not yet in this list, or the file may
  67. have been corrupted due to a bad ARCHIVE.  However, if you run a
  68. trojan horse program that is not listed here, please don't send it
  69. to SCP Business BBS.  Instead, give me a call (SCP Business BBS
  70. phone 1-503-648-6687 9600-v42/2400/1200/300 baud supported) and
  71. leave me a message about the program (with a complete filename and
  72. any other information you may have) so that I can get the
  73. destructive program in the next issue. It is important to verify
  74. that the program is a TROJAN and not an OPERATOR error.  If anyone
  75. is unsure whether or not a file is a Trojan, and it's not listed in
  76. the GL, I recommend using a utility like BOMBSQAD.COM or
  77. CHK4BOMB.EXE to prevent any mishaps. For VIRUSES, use VirusScan or
  78. FlusShot+. After your call, I may want you to upload it just to
  79. verify it myself if you are unable to.
  80.  
  81.  
  82. A WORD FROM TOM SIRIANNI:  TYPE OF TROJAN -- THE VIRUS...
  83.  
  84. A Virus is a trojan which attaches itself to certain files and at
  85. predetermined time attacks your FAT, DIR, and/or BOOT areas, CROSS-
  86. LINKing files and looking for ways to attach itself to diskettes and 
  87. other disks containing files such as IBMDOS, IBMBIO, COMMAND.COM, 
  88. etc.  This type of virus spreads its dirty work to other systems much 
  89. like the flu or a cold, relying on the user to spread the VIRUS.  
  90. Protection (to a limited degree) from these virus strains is avail-
  91. able with ShareWare programs SENTRY, SCAN (VirusScan), and FSP
  92. (FluShot Plus), which are all available on the SCP Business BBS,
  93. 105/301 FidoNet, 1-503-648-6687 (PC-Pursuit ORPOR), or through SDS
  94. nodes within FidoNet (note that SDS and SDN are two separate
  95. enities).
  96.  
  97. The best program, called SCAN, better know as VirusScan, can check
  98. any  physical or logical drive or diskette for any file infected by
  99. a Virus. It will tell what type of Virus and where it is located.
  100.  
  101.  
  102. WHAT TO DO IF YOU THINK YOU ARE INFECTED WITH A TROJAN/VIRUS
  103.  
  104. There are three ways to tell if you are infected:
  105.  
  106. 1)   First, have a GOOD DOS diskette with COMMAND.COM on it, PLUS
  107. put a WRITE-PROTECT TAB on your DOS disk.  Then, from your system,
  108. do a DIR on the good DOS diskette.  If you get a WRITE-ERROR, you
  109. are infected -- DIR does not do any writing of any kind, whereas
  110. the VIRUS does.
  111.  
  112. 2)   Another way is to check and compare the time-date stamp of
  113. COMMAND.COM.  The Virus writes to the COMMAND.COM thereby changing
  114. the time-date stamp.
  115.  
  116. 3)   Use SCAN to tell if you are infected and it will tell you
  117. what type.
  118.  
  119.      
  120. The psychologically unbalanced individuals writing and uploading
  121. these programs will change their viral methods, so beware.  Many
  122. new viral detection programs are in the works, both commercially
  123. and in the public domain, to keep up with the viral programs we
  124. have available, to confirmed SYSOPS, Virus/Trojan information
  125. texts on SCP Business BBS. The Virus text files are ZIPed and can
  126. be File-Requested thru FidoNet BBS's as VIRUS-1.ARC & VIRUS-2.ARC.
  127.  
  128.  
  129. Simple precautions:
  130.  
  131. The thing to do is to check the contents of your downloads via the 
  132. verbose command of the type of archiving program used, making sure 
  133. ANSI.SYS is disbaled first.  DO NOT DOWNLOAD any files without any 
  134. available or known documentation unless you are assured it is safe
  135. by  the SYSOP.  Also, do not accept any ARCHIVE or diskette
  136. containing a file named COMMAND.COM. Use VirusScan!!!
  137.  
  138. Remember -- these new TROJANS are no laughing matter.  Without
  139. causing  mass hysteria, use your best judgment, and check your
  140. procedures first!
  141.  
  142. Final note:  There is a commercial program called C-4 by
  143. InterPath Corp. which will (to date) detect and contain ALL known
  144. PC-VIRUSES. So for the ultimate 100 percent protection, get C-4.
  145.  
  146.                        C-4 by InterPath Corp.
  147.                        4423 Cheeney St.
  148.                        Santa Clara, Calif.
  149.                                        95054
  150.                        1-408-988-3832
  151.                                  was $40.00
  152.  
  153.                        ----------------------
  154.  
  155.  
  156. A word on TROJANS -
  157.  
  158. In the course of time trojans/viruses have gained MEDIA attention.
  159. Unfortunately, RUMORS have always played a major factor in its
  160. notoriety. The truth is, of all those reported are minimal compared
  161. to the vast amounts of programs out there in the BBS community.
  162. Some are designed to defame people or companies.  As an example,
  163. Dorn Stickel has been noted to be a supposed Author of several
  164. TROJANS. But in real life, he is not that person. So, until
  165. verified, do not think it is real and, at the same time, do not
  166. ignore the existence either. Be cautious with all types of file
  167. transfers and all types of media used.
  168.  
  169.  
  170. ANSI TEXT FILES/DOC FILES:
  171.  
  172. Did you know a TROJAN can be used in DOC and TEXT files?  If your
  173. system is configured for ANSI.SYS in your CONFIG.SYS file, your
  174. keyboard could be redirected or the keys reconfigured.
  175.  
  176. For example, you could hit the F1 key and the trojan could do a
  177. High Level Format; or hit ALT-X and it will say "del *.* and yes".
  178. It can answer to the prompts and before you say, "What the
  179. '(&^(~*%' is going on?", your system is deleted. And it can also
  180. hide those commands.
  181.  
  182. USE A BROWSER OR LISTER PROGRAM WHEN LOOKING AT ANY TEXT/DOC FILE;
  183. even an editor or PC Tools Edit or word process will work. This
  184. way, no redirection can take place.
  185.  
  186.  
  187. ANSI IN ARC FILES:
  188.  
  189. It has been noted that it is possible to put ANSI redirection codes
  190. within several types of ARCers used to archive files in the BBS
  191. community. To be safe, do not do a VERBOSE listing of an ARC unless
  192. you make sure ANSI.SYS is disabled in your system's CONFIG.SYS.
  193. Also, there are several utilites available through SDS nodes in
  194. FidoNet such as STRIPZIP which will take those ANSI codes out of
  195. the ARCed file. Current versions of LHARC, PAK, and PKZIP now
  196. default to ANSI display turned OFF, so this helps.
  197.  
  198. Final Note:
  199.  
  200. Before we go into the listing as of the current date of this issue, 
  201. it seems that the Jerusalem Virus is the most natorious or the 
  202. most promient. When infected, the way to get rid of the Virus is to
  203. run VirusScan to determine which file it is then delete that and 
  204. replace it with known GOOD file.
  205.  
  206. ------------------------------------------------------------------
  207.  
  208.  
  209. TITLE DEFINITIONS:
  210.  
  211.  TROJAN                  These programs PURPOSEFULLY damage a
  212.                          user's system upon their invocation. 
  213.                          They usually aim to disable [Hard] disks,
  214.                          although they can destroy other
  215.                          equipment, too.
  216.  
  217.  VIRUS                   These programs are the ultimate TROJAN
  218.                          designed to infect as well as destroy
  219.                          the User's and other systems that it
  220.                          infects. Its sole purpose is to
  221.                          replicate itself while destroying the
  222.                          system. This term will be used in
  223.                          conjunction with those files that are
  224.                          infected as well as those files that
  225.                          start the virus.
  226.  
  227.  CAREFUL                 Programs labeled in this manner may
  228.                          may not be trojans; the question is
  229.                          how it's used. Use caution when running
  230.                          these programs!
  231.  
  232.  *                       The asterisks will be used to show that
  233.                          the file may or may not be "BAD" or
  234.                          unresolved.
  235.  
  236.  
  237. NOTE:  If a file extension is not supplied, that means that the
  238. file circulates under many different extensions.  For instance,
  239. users commonly upload with extensions of .ARC, .PAK, .LZH, .SDN,
  240. .ZOO, .ZIP, or as .EXE or .COM files.
  241.  
  242.  -----------------------------------------------------------------
  243.  |                   TROJAN HORSE PROGRAMS:                      |
  244.  -----------------------------------------------------------------
  245.  
  246. NAME             CATEGORY  NOTES
  247. --------------   --------  ---------------------------------------
  248.  
  249. 3X3SHR           *TROJAN   Time Bomb type trojan wipes the [Hard]
  250.                            Drive clean. File size is 78,848.
  251.  
  252. ANTI-PCB         *TROJAN   The story behind this trojan horse is
  253.                            sickening. Apparently one RBBS-PC
  254.                            sysop and one PC-BOARD sysop started
  255.                            feuding about which BBS system was 
  256.                            better, and in the end the PC-BOARD
  257.                            sysop wrote a trojan and uploaded it to
  258.                            the rbbs SysOp under ANTI-PCB.COM. Of
  259.                            course the RBBS-PC SysOp ran it, and
  260.                            that led to quite a few accusations and
  261.                            a big mess in general. Let's grow up!
  262.                            Every SysOp has the right to run the
  263.                            type of BBS they please, and the fact
  264.                            that a SysOp actually wrote a trojan
  265.                            ntended for another sysop simply
  266.                            blows my mind.
  267.  
  268. ARC2ZIP.EXE         VIRUS  This Lehigh Virus strain that attacks
  269.                            the COMMAND.COM and is used in 
  270.                            converting ARCed files to ZIPed files.
  271.                            This file also copies itself into the
  272.                            ZIPed file while remaining a TSR within
  273.                            COMMAND.COM. Also it is always looking
  274.                            for COMMAND.COM on a FLOPPY diskette, so
  275.                            it has two ways to infect.
  276.  
  277. ARC513.EXE       *TROJAN   This hacked version of ARC appears
  278.                            normal, so beware!  It will write over
  279.                            track 0 of your [hard] disk upon usage,
  280.                            destroying the disk.
  281.  
  282. ARC514.COM       *TROJAN   This is very similar to ARC version
  283.                            5.13 in that it will overwrite track 0
  284.                            (FAT Table) of your [Hard] disk. Also, I
  285.                            have yet to see an .EXE version of this
  286.                            program.
  287.  
  288. ARC533.EXE         VIRUS   This is a new Virus program designed to
  289.                            emulate Sea's ARC program. It infects
  290.                            OMMAND.COM. Lehigh Virus Type.
  291.  
  292. BACKTALK         *TROJAN   This program used to be a good PD
  293.                            utility, but someone changed it to be
  294.                            trojan. Now this program will write/
  295.                            destroy sectors on your [hard] disk
  296.                            drive. Use this with caution if you
  297.                            acquire it, because it's more than
  298.                            likely that you got a bad copy.
  299.  
  300. B30012A.ARC      *TROJAN   Was supposed to be a Quick BBS utilty
  301.                            to handle 300 baud Users. But what it
  302.                            really does is delete many of the
  303.                            general directories used by a Quick
  304.                            BBS system.
  305.  
  306. CDIR.COM         *TROJAN   This program is supposed to give you a
  307.                            color directory of files on your disk,
  308.                            but it in fact will scramble your disk's
  309.                            File Allocation Table (FAT).
  310.  
  311. D-XREF60.COM      TROJAN   A Pascal Utility used for Cross-
  312.                            Referencing, written by the infamous
  313.                            Dorn Stickel. It eats the FAT and
  314.                            BOOT sector after a time period has
  315.                            been met and if the [Hard] Drive is more
  316.                            than half full.
  317.  
  318. DANCERS.BAS      *TROJAN   This trojan shows some animated dancers
  319.                            in color, and then proceeds to wipe out
  320.                            your [hard] disk's FAT table.  There is
  321.                            another perfectly good copy of DANCERS.
  322.                            BAS on BBS's around the country; appar-
  323.                            ently the idiot trojan author altered a
  324.                            legitimate program to do the dirty work.
  325.  
  326. DISKSCAN.EXE      TROJAN   This was a PC-MAGAZINE program to scan
  327.                            a [hard] disk for bad sectors, but then
  328.                            a joker edited it to WRITE bad sectors 
  329.                            Also look for this under other names
  330.                            such as SCANBAD.EXE and BADDISK.EXE. A
  331.                            good original copy is availble on SCP
  332.                            Business BBS.
  333.  
  334. DMASTER          *TROJAN   This is yet another FAT scrambler.
  335.  
  336. DOSKNOWS.EXE     *TROJAN   I'm still tracking this one down --
  337.                            apparently someone wrote a FAT killer
  338.                            and renamed it DOSKNOWS.EXE, so it
  339.                            would be confused with the real,
  340.                            harmless DOSKNOWS system-status
  341.                            utility.  All I know for sure is that
  342.                            the REAL DOSKNOWS.EXE is 5376 bytes
  343.                            long.  If you see something called
  344.                            DOSKNOWS that isn't close to that size,
  345.                            sound the alarm.
  346.  
  347. DOS-HELP          TROJAN   This trojan, when made memory-resident,
  348.                            is supposed to display a DOS command
  349.                            that the User needs help with. Works fine
  350.                            on a Diskette system, but on a [Hard]
  351.                            DRIVE system, it tries to format the
  352.                            [Hard] Disk with every access of
  353.                            DOS-HELP.
  354.  
  355. DPROTECT         *TROJAN   Apparently someone tampered with the
  356.                            original, legitimate version of
  357.                            DPROTECT and turned it into a FAT
  358.                            eater. A good version is available
  359.                            on SCP Business BBS.
  360.  
  361. DRAIN2           *TROJAN   There really is a DRAIN program, but
  362.                            this revised program goes out does a Low
  363.                            Level Format while it is playing the 
  364.                            funny program.
  365.  
  366. DROID.EXE        *TROJAN   This trojan appears under the guise of
  367.                            a game. You are supposedly an architect
  368.                            who controls futuristic droids in search
  369.                            of relics. In fact, PC-Board sysops (if
  370.                            they run this program from C:\PCBOARD) 
  371.                            will find that it copies C:\PCBOARD\
  372.                            PCBOARD.DAT to C:\PCBOARD\HELP\HLPX. The 
  373.                            .EXE file is 54,272 bytes.
  374.  
  375. DRPTR.ARC         TROJAN   File found on two boards in the 343
  376.                            Net.  After running unsuspected file,
  377.                            the only things left in the Sysop's
  378.                            root directory were the subdirectories
  379.                            and two of the three DOS System files,
  380.                            along with a 0-byte file named
  381.                            WIPEOUT.YUK. The Sysop's COMMAND.COM
  382.                            was located in a different directory;
  383.                            the file date and CRC had not changed.
  384.  
  385. DSZ (Patch)     *CAREFUL   The author of this protocol program,
  386.                            Chuck Forsberg, warns that anyone using
  387.                            an Unregistered version of DSZ that was
  388.                            HACKED with a downloaded PATCH to make
  389.                            it work fully, might get a SCRAMBLED FAT.
  390.                            Seems someone created the HACK PATCH and
  391.                            then uploaded it to BBS's. *BEWARE* of
  392.                            the PATCH! It is not the DSZ program that
  393.                            does the dirty work, but the invalid PATCH.
  394.  
  395. EGABTR           *TROJAN   BEWARE! Description says something like
  396.                            "improve your EGA display," but when
  397.                            run, it deletes everything in sight and
  398.                            prints, "Arf! Arf! Got you!"
  399.  
  400. EMMCACHE        *CAREFUL   This program is not exactly a trojan,
  401.                            but it (v. 1.0) may have the capability
  402.                            of destroying [Hard] disks by:
  403.                            A) Scrambling every file modified after
  404.                            running the program.
  405.                            B) Destroying boot sectors.
  406.                            This program has damaged at least two
  407.                            [Hard] disks; yet there is a base of
  408.                            happily registered users. Therefore, 
  409.                            extreme caution is advised if you decide
  410.                            to use this program.
  411.  
  412. FILER.EXE        *TROJAN   One SysOp complained a while ago that
  413.                            this program wiped out his 20 Megabyte
  414.                            [Hard] disk. I'm not so sure that he was
  415.                            correct and/or telling the truth any
  416.                            more. I have personally tested an
  417.                            excellent file manager also named
  418.                            FILER.EXE, and it worked perfectly. 
  419.                            Also, many other SysOp's have written
  420.                            to tell me that they have like me used
  421.                            a FILER.EXE with no problems. If you
  422.                            get a program named FILER.EXE, it is
  423.                            probably alright, but better to test it
  424.                            first using some security measures.
  425.  
  426. FILES.GBS        CAREFUL   When an OPUS BBS system is installed
  427.                            improperly, this file could spell
  428.                            disaster for the Sysop.  It can let a
  429.                            user of any level into the system.
  430.                            Protect yourself. Best to have a
  431.                            sub-directory in each upload area
  432.                            called c:\upload\files.gbs (this is an
  433.                            example only). This would force Opus to
  434.                            rename a file upload of files.gbs and
  435.                            prevent its usage.
  436.  
  437. FINANCE4.ARC    *CAREFUL   This program is not a verified trojan;
  438.                            there is simply a file going around
  439.                            BBS's warning that it may be a trojan. 
  440.                            In any case, exercise extreme care with
  441.                            it.
  442.  
  443. FLU4TXT.COM       TROJAN   Man, when I thought we had it licked!
  444.                            This Trojan was inserted into the
  445.                            FluShot4.ARC and uploaded to many
  446.                            BBS's. FluShot is a protector of your
  447.                            COMMAND.COM. The author of FluShot
  448.                            posted this Trojan warning, and I am
  449.                            posting it here in the GL. If you need
  450.                            a good copy, you can get it from here--
  451.                            SCP Business BBS--or on COMPUSERVE.
  452.  
  453. FOX2.ARC          TROJAN   The show program was put into the FOX
  454. (SHOW.COM)                 archive to display a porono on VGA.
  455.                            While doing so it corrupts the FAT of
  456.                            the HD. Even NU can not recover it. A
  457.                            FAT recover program like MIRROR has
  458.                            not yet been tested for it.
  459.                            Name     Size  Date
  460.                            Show.com 14562 06/02/85
  461.  
  462. FUTURE.BAS       *TROJAN   This "program" starts out with a very
  463.                            nice color picture (of what, I don't
  464.                            know) and then proceeds to tell you
  465.                            that you should be using your computer
  466.                            for better things than games and
  467.                            graphics. After making that point, it
  468.                            trashes your A: drive, and B:, C:, D: 
  469.                            drives until it has erased all drives.
  470.                            It does not go after the FAT alone; it
  471.                            also erases all of your data. As far
  472.                            as I know, however, it erases only one
  473.                            sub-directory tree level deep, thus
  474.                            [Hard] disk users should only be
  475.                            seriously affected if they are in the
  476.                            "root" directory. I'm not sure about
  477.                            this one either, though.
  478.  
  479. GATEWAY2         *TROJAN   Someone tampered with version 2.0 of
  480.                            the CTTY monitor GATEWAY.  What it
  481.                            does is ruin the FAT. If you need a
  482.                            good copy, you can file-request it or
  483.                            pick one up from 105/301--SCP Business
  484.                            BBS.
  485.  
  486. GRABBER           TROJAN   This program is supposed to be a SCREEN
  487.                            CAPTURE program that copies the screen
  488.                            to a .COM to be run later from the DOS
  489.                            command line. As a TSR, it will also
  490.                            attempt to do a DISK WRITE to the [Hard]
  491.                            drive when you do not want it to. It
  492.                            will wipe whole Directories when doing
  493.                            a normal DOS command. One sysop who
  494.                            ran it lost all of his ROOT directory
  495.                            including his SYSTEM files. The file
  496.                            status is :
  497.                            Name         Size  Date      Time
  498.                            GRABBER.COM  2583  05/28/87  22:10
  499.  
  500. GRASPRT.EXE        VIRUS   This file was in a porno file called
  501.                            SEXSHOE.LZH originating from PC-EXEC 
  502.                            BBS. The Sysop took it off, but it had
  503.                            been downloaded by a few people. This is
  504.                            one of the Jerusalem-B Virus strains.
  505.                            The status is:
  506.                            Name         Size   Date      Time
  507.                            GRASPRT.EXE  73376  06/03/86  09:49
  508.  
  509. G-MAN             TROJAN   Another FAT killer.
  510.  
  511. HEART.EXE         VIRUS    Infected with the Israeli Virus.
  512.                            Displays the HEART logo on CGA monitor
  513.                            while infecting the HD. File is found
  514.                            on some SHAREWARE houses watch for it.
  515.                            Name      Size  Date
  516.                            HEART.EXE 13744 ?????
  517.  
  518. JIV40.LZH         VIRUS    Hacked propgram of JIV - current real
  519.                            program is v3.3 NOT v4.0 - It is also
  520.                            infected by a Virus which attaches to
  521.                            any .COM file it can find.
  522.  
  523. KC-PAL.COM        TROJAN   Infects the COMMAND.COM and then attaches
  524.                            to any .COM file afterward using the
  525.                            COMMAND.COM during its use of Internal
  526.                            commands (COPY, DIR, TYPE, etc.). The
  527.                            COMMAND.COM files are enlarged in size
  528.                            by 1538 bytes, and in the Time column
  529.                            of the directory, listing the seconds
  530.                            is reset from :00 to :62.
  531.  
  532. LM                TROJAN   Deletes the COMMAND.COM and other
  533.                            files from the ROOT directory of the 
  534.                            [Hard] Drive when the program runs.
  535.  
  536. MAP               TROJAN   This is another trojan horse written by
  537.                            the infamous Dorn Stickel. Designed
  538.                            to display what TSR's are in memory and
  539.                            works on FAT and BOOT sectors. Also
  540.                            seems towork only when the [Hard] Drive
  541.                            is 50 percent full or more.
  542.  
  543. MATHKIDS.ARC     *TROJAN   This is a fairly benign trojan that
  544.                            will not reformat your [Hard] disks or
  545.                            do any system-level damage. Instead,
  546.                            it is designed to crack a BBS system. It
  547.                            will attempt to copy the USER file on
  548.                            a BBS to a file innocently called
  549.                            FIXIT.ARC, which the originator can
  550.                            later call in and download. Believed
  551.                            to be designed for PCBoard BBS's.
  552.  
  553. MOUSEKEY.COM      VIRUS    Mouse device program infected with the
  554.                            CASCADE type virus.
  555.  
  556. NORTSHOT.ZIP      TROJAN   A supposed VIRUS checker - while
  557. NORTSTOP.ZIP               listing the DIR during its check
  558.                            displays that the disk is Virus Free -
  559.                            but during Dec. 24th and Dec. 31st it
  560.                            will ERASE files in several DIR's
  561.                            based on their extension. NORTSHOT.ZIP
  562.                            and NORTSTOP.ZIP are same file.
  563.                            Name         Size  Date
  564.                            NORTSTOP.EXE 38907 ?????
  565.  
  566. NOTROJ.COM       *TROJAN   This "program" is the most sophisti-
  567.                            cated trojan horse that I've seen to
  568.                            date. All outward appearances indicate
  569.                            that the program is a useful utility
  570.                            used to FIGHT other trojan horses.
  571.                            Actually, it is a time bomb that erases
  572.                            any [Hard] disk FAT IT can find and,
  573.                            at the same time, it warns: "another 
  574.                            program is attempting a format, can't
  575.                            abort!  After erasing the FAT(s),
  576.                            NOTROJ then proceeds to start a low
  577.                            level format. One extra thing to note:
  578.                            NOTROJ only damages FULL [Hard] drives;
  579.                            if a [Hard] disk is under 50 percent 
  580.                            full, this program won't touch it!
  581.                            If you are interested in reading a
  582.                            thorough report on NOTROJ.COM, James H.
  583.                            Coombes has written an excellent text
  584.                            file on the matter named NOTROJ.TXT.
  585.                            If you have trouble finding it, you
  586.                            can get it from SCP Business BBS.
  587.  
  588. PACKDIR          *TROJAN   This utility is supposed to "pack"
  589.                            (sort and optimize) the files on a
  590.                            [hard] disk, but apparently it
  591.                            scrambles FATs.
  592.  
  593. PCW271xx.ARC     *TROJAN   A modified version of the popular
  594.                            PC-WRITE word processor (v. 2.71) has
  595.                            now scrambled at least 10 FAT tables
  596.                            that I know of.  If you want to
  597.                            download version 2.71 of PC-WRITE, be 
  598.                            very careful!  The bogus version can be
  599.                            identified by its size; it uses 98,274
  600.                            bytes whereas the good version uses
  601.                            98,644.  For reference, version 2.7 of
  602.                            PC-WRITE occupies 98,242 bytes.
  603.  
  604. PKX35B35.ARC }   *TROJAN   This was supposed to be an update to
  605. PKB35B35.ARC }    *VIRUS   PKARC file compress utility. When it is
  606.                            run, it *EATS your FATS* and is said to 
  607.                            to infect other files so it can spread.
  608.                            Possible VIRUS.
  609.  
  610. PKPAK/PKUNPAK   *CAREFUL   There is a TAMPERED version of 3.61
  611.   v3.61                    that interferes with PC's interrupts.
  612.  
  613. PKFIX361.EXE     *TROJAN   Supposed patch to v3.61. What it really
  614.                            does when it is extracted from the .EXE 
  615.                            file is do DIRECT access to the DRIVE
  616.                            CONTROLLER to perform a Low-Level format,
  617.                            thereby bypassing checking programs.
  618.  
  619. PK362.EXE       *CAREFUL   This is a NON-RELEASED version and is
  620.                            suspected as being a *TROJAN*. Not
  621.                            verified.
  622.  
  623. PK363.EXE       *CAREFUL   This is a NON-RELEASED version and is
  624.                            suspected as being a *TROJAN*. Not
  625.                            verified.
  626.  
  627. PKZ100.EXE        TROJAN   Supposed to be a new release of PKZIP,
  628.                            but what it really does is fill up
  629.                            your [Hard] drive with many directories
  630.                            until the system no longer functions. 
  631.                            The current version is PKZIP v.092.
  632.  
  633. PKZ120.EXE        TROJAN   Modeifies the AREAS.BBS of BBS's that
  634.                            use such a file. Replaces addreses in
  635.                            that file with dummy addreses. then
  636.                            deletest itself to avoid any way to
  637.                            desipher how it works.
  638.                            Name       Size           Date
  639.                            PKZ120.EXE 172,000approx. 09/13/89
  640.  
  641. QUIKRBBS.COM     *TROJAN   This Trojan horse advertises that it
  642.                            will install a program to protect your
  643.                            RBBS but it does not. It goes and eats
  644.                            away at the FAT instead.
  645.  
  646. QUIKREF          *TROJAN   This ARChive contains ARC513.COM.
  647.                            It is supposed to load RBBS-PC's message
  648.                            file into memory two times faster than
  649.                            normal. What it really does is copy the
  650.                            RBBS-PC.DEF into an ASCII file named
  651.                            HISCORES.DAT.
  652.  
  653. RCKVIDEO         *TROJAN   This is another trojan that does what
  654.                            it's supposed to do, and then wipes out
  655.                            [Hard] disks.  After showing some simple
  656.                            animation of a rock star ("Madonna," I
  657.                            think), the program will go to work on
  658.                            erasing every file it can lay it's
  659.                            hands on. After about a minute of this,
  660.                            it will create three ASCII files that 
  661.                            say, "You are stupid to download a
  662.                            video about rock stars," or something
  663.                            of the like.
  664.  
  665. SECRET.BAS       *TROJAN   BEWARE!! This may be posted with a note
  666.                            saying it doesn't seem to work, and
  667.                            would someone please try it; when you
  668.                            do, it formats your disks. 
  669.  
  670. SIDEWAYS.COM     *TROJAN   Be careful with this trojan; there is a
  671.                            perfectly legitimate version of
  672.                            SIDEWAYS.EXE circulating. Both the
  673.                            trojan and the good SIDEWAYS advertise 
  674.                            that they can print sideways, but
  675.                            SIDEWAYS.COM will trash a [hard] disk's
  676.                            boot sector instead. The trojan .COM
  677.                            file is about 3 KB, whereas the
  678.                            legitimate .EXE file is about 30 KB
  679.                            large.
  680.  
  681. STAR.EXE         *TROJAN   Beware RBBS-PC SysOps! This file puts
  682.                            some stars on the screen while copying
  683.                            RBBS-PC.DEF to another name that can be
  684.                            downloaded later!
  685.  
  686. STRIPES.EXE      *TROJAN   Similar to STAR.EXE, this one draws an
  687.                            American flag (nice touch), while it's
  688.                            busy copying your RBBS-PC.DEF to
  689.                            another file (STRIPES.BQS) so the joker
  690.                            can log in later, download STRIPES.BQS, 
  691.                            and steal all your passwords. Nice, huh?
  692.  
  693. SUG.COM           TROJAN   This one is supposed to go out and
  694.                            unprotect copy protected programs disks
  695.                            by Softguard Systems, Inc.  After it
  696.                            trashes your disk, it comes back and
  697.                            displays:
  698.                            "This destruction constitutes a prima
  699.                            facie evidence of your violation. If
  700.                            you attempt to challenge Softguard
  701.                            Systems Inc..., you will be vigorously
  702.                            counter-sued for copyright infringement
  703.                            and theft of services."
  704.                            AND it by-passes any attempt by CHK4BOMB 
  705.                            to search for the any hidden messages
  706.                            that tell you, "YOU BEEN HAD... or 
  707.                            GOTCHA>>> Ar..Ar..Ar...  It encrypts the
  708.                            Gotcha message so no Trojan checker can
  709.                            scan for it.
  710.  
  711. TIRED            *TROJAN   Another scramble-the-FAT trojan by Dorn
  712.                            W. Stickel.
  713.  
  714. TOPDOS           *TROJAN   This is a simple high level [hard] disk
  715.                            formatter.
  716.  
  717. TSRMAP           *TROJAN   This program does what it's supposed to
  718.                            do:  give a map outlining the location
  719.                            (in RAM) of all TSR programs, but it
  720.                            also erases the boot sector of drive
  721.                            "C:".
  722.  
  723. ULTIMATE.EXE      TROJAN   Another FAT eater.  File status:
  724.                            Name           Size
  725.                            ULTIMATE.EXE   3090
  726.                            ULTIMATE.ARC   2432
  727.  
  728. UNIX               VIRUS   The UNIX operating system by Berkley,
  729.                            verson 4.3, is an INTERNET virus. A
  730.                            Patch is available on SCP Business
  731.                            BBS. This is the MAIL PACKET VIRUS.
  732.  
  733. VDIR.COM         *TROJAN   This is a disk killer that Jerry
  734.                            Pournelle wrote about in BYTE Magazine. 
  735.                            I have never seen it, although a
  736.                            responsible friend of mine has.
  737.  
  738. VGA2CGA.ARC        VIRUS   CGA converter - infected with the
  739.                            AIDS/Hahaha - has been found on many
  740.                            USA West Coast BBS's.
  741.  
  742. VU.EXE            *VIRUS  Infected with the 1704-B Virus. Has not
  743.                           been confirmed. And is unkown what the
  744.                           file is supposed to do.
  745.  
  746. WOW               *VIRUS   Also known as the 1701 Virus. This
  747.                            is a new strain of the Lehigh Virus
  748.                            as it not only looks for COMMAND.COM,
  749.                            but any .COM file. As it does it, the
  750.                            infected file is enlarged 1,701 bytes
  751.                            in SIZE. The infection takes as you
  752.                            run the .COM.  WOW is a TSR. What happens
  753.                            when you run WOW is that it displays an
  754.                            advertisement:
  755.                                ""The Wizards of Warez"
  756.                                  in assocoation with
  757.                                     the copycats
  758.                                 the Pirates Unlimited
  759.                                         OUTRUN
  760.                                WOW                     1989 "
  761.                            The virus is also known as WOWTITLE.
  762.  
  763.  
  764.  -----------------------------------------------------------------
  765.  |                If you run a trojan horse.....                 |
  766.  -----------------------------------------------------------------
  767.  
  768. While reading this, bear in mind that there is no better remedy
  769. for a drive that has run a trojan horse and been damaged than a
  770. recent backup.
  771.  
  772. The first thing to do after running what you think to be a trojan
  773. horse is to diagnose the damage.  Was your [hard] drive formatted? 
  774. Did the trojan scramble your FAT table?  Did every file get
  775. erased?  Did your boot sector on the [hard] drive get erased/
  776. formatted?  Odds are that the trojan incurred one of these four
  777. disasters.  After the initial diagnosis, you are ready to remedy
  778. the problem.
  779.  
  780. 1)   If the trojan low-level formatted your [hard] disk:
  781.      Hope that you have a recent backup; that's the only sure
  782.      remedy for this disease.
  783.  
  784. 2)   If the trojan high-level formatted your [hard] disk:  
  785.      There is only one way out of this mess, and that is to use
  786.      the MACE+ utilities by Paul Mace.  MACE+ has two devices in
  787.      it to recover formatted disks, and believe me, they work! I
  788.      will talk more about the MACE+ utilities later.
  789.  
  790. 3)   If the trojan scrambled your FAT table:
  791.      Once again, there is nothing to do.  However, there is a
  792.      program called FATBACK.COM (available on my board named as
  793.      FATBACK.ZIP) that will back up your FAT table in under a
  794.      minute to floppy.  Using FATBACK, it is easy and non time-
  795.      consuming to back up your FAT regularly.
  796.  
  797. 4)   If the trojan erased file(s), and the FAT table is undamaged: 
  798.      There are many packages to undelete deleted files.  Norton
  799.      Utilities, PC-Tools, MACE+, and many others will do the
  800.      job.  I recommend the first three,  they are commercially
  801.      available at most computer software stores or mail-order
  802.      stores. Mace Utilities can also be purchased from SOFTEX on
  803.      CompuServe. When you are undeleting, be sure to undelete files
  804.      in the order of last time written to disk.
  805.  
  806. 5)   If the boot sector on your [hard] disk gets erased/formatted:
  807.      There are four things to do if this happens, and the worst
  808.      that can happen is that you will go without a [hard] disk for
  809.      a while.  To be on the safest side, back up everything before
  810.      even proceeding to step "A," although I cannot see why it
  811.      would be necessary.
  812.  
  813.      A)   Try doing a "SYS C:" (or "SYS A:") from your original
  814.           DOS disk, and copy COMMAND.COM back onto the [hard]
  815.           drive after that.  Try booting, and if that doesn't
  816.           work, try step B.
  817.  
  818.      B)   If you have the MACE+ utilities, go to the "other
  819.           utilities" section and "restore boot sector."  This
  820.           should do the job if you have been using MACE+
  821.           correctly. If using PCTOOLS Delux us the MIRROR
  822.           REBUILD utility function.
  823.  
  824.      C)   If you are still stuck, BACK UP EVERYTHING and proceed
  825.           to do a low-level format.  Instructions on how to
  826.           perform a low-level format should come with your [hard]
  827.           disk controller card.  Be sure to map out bad sectors
  828.           using either SCAV.COM by Chris Dunford or by manually
  829.           entering the locations of bad sectors into the low-level
  830.           format program.  After the low level format on your hard 
  831.           disk, run FDISK.COM (it comes with DOS) and create a DOS
  832.           partition.  Refer to your DOS manual for help in using
  833.           FDISK.  Then put your original DOS diskette in drive A:
  834.           and do a FORMAT <drive letter>:/S/V.  Drive letter can
  835.           stand for "C" or "B" depending on whether you are
  836.           reformatting a [Hard] disk or not.  Finally you are ready
  837.           to attempt a reboot.
  838.  
  839.      D)   If you are still stuck, either employ some professional
  840.           computer repair person to fix your drive, or live with a
  841.           non-bootable [hard] drive.
  842.  
  843.  
  844. A few words of caution on prevention:
  845.  
  846. 1) Get the protection programs from a RELIABLE source.  Always ask
  847. about any unknown program - virus protection or otherwise - before
  848. downloading or running it. Know your source! Get it from
  849. SDNet/Works! FidoNet nodes if they come through SDN.
  850.  
  851. 2) Don't let down your guard!  Most virus protection programs
  852. intercept specific types of activities (disk writes, for example)
  853. or specific viruses (such as Apple's VirusRX targeting the Scores
  854. virus). So USE A VIRAL CHECKER when running new BBS programs. Use
  855. **  VirusScan! **
  856.  
  857. 3) Make periodic file listings and compare them regularly to prior 
  858. listings.  Look for unusual changes or unfamiliar files like Hidden 
  859. or System files.  INVESTIGATE ANYTHING OUT OF THE ORDINARY! Is your 
  860. system slowing down or failing all the time?
  861.  
  862. 4) BACKUP - BACKUP - BACKUP!  Keep current backups.  I know,  I
  863. know.  Everyone tells you, even your mom (smile).  At least make
  864. regular copies of your most important databases and files, and
  865. most important, KEEP your OLD COPIES around a little longer
  866. just to be on the safe side.  I have a set devoted strictly to a
  867. MASTER BACKUP in case my system's current backup is bad.  Then all
  868. is not lost as I have a MASTER to put me back up.
  869.  
  870. 5) Don't run programs that you got off a BBS on your BOSS's
  871. machine! Use your own PC first. This could save you the
  872. embarrassment of facing his ugly mug (smile) and loosing your
  873. job. Many companies now have policies regarding this.
  874.  
  875. 6) Never run or access a diskette that might contain the SYSTEM
  876. files. These may be contaminated and could infect your system.
  877. Know your source! The same goes for the COMMAND.COM.
  878.  
  879. 7) USE WRITE PROTECT TABS! A virus can't infect something it
  880. can't write to. Use them; they are the cheapest method of
  881. prevention.
  882.  
  883.        * REMEMBER: The Best Defense is Good * BACKUP *
  884.  
  885.  
  886.   ---------------------------------------------------------------
  887.  |                       Update History:                         |
  888.   ---------------------------------------------------------------
  889.  
  890. Version 1.0a   The first list of The Guardian compiled from the
  891.                Dirty Dozen List and from the DIRTY_DOZEN echo
  892.                conference. The Guardian List will be distributed
  893.                thru FidoNet and LCRNET. It, unlike the Dirty
  894.                Dozen List, is comprised of only Trojans and
  895.                Viruses and is sent out more often than The Dirty
  896.                Dozen List. Added PK100.EXE, B30012A.ARC.
  897.  
  898. Version 1.0b   Added plug for SDNet/Works!, and a plug for
  899.                VirusScan utility. Added GRASPRT.EXE, KC-PAL.COM
  900.  
  901. Version 1.0c   Added FOX2.ARC(Show.com), HEART.EXE, JIV40.LZH,
  902.                JIV.COM, MOUSEKEY.COM, NORTSTOP.ZIP/NORTSHOT.ZIP,
  903.                PKZ120.EXE, VGA2CGA.ARC, VU.EXE - also reworded
  904.                text file by Sally Nueman.
  905.  
  906.  -----------------------------------------------------------------
  907.  |                           Glossary:                           |
  908.  -----------------------------------------------------------------
  909.  
  910.  
  911. I have intended this glossary for the beginning to intermediate   
  912. user; all experienced BBS users will be bored to death with this. 
  913.  
  914. ?Q?            --   (? standing for any character).  File
  915.                     extension for SQueezed files.  Squeezed files
  916.                     are unusable until unsqueezed by a utility
  917.                     such as NUSQ.COM or USQ.COM.  The advantage of
  918.                     a SQueezed file is that it is smaller than a
  919.                     regular UnSQueezed file, thus saving disk
  920.                     space and download time.  ARChives are more
  921.                     efficient than Squeezed files; that's why
  922.                     there are so many more ARChives on BBS's these
  923.                     days.  Example of the extensions of SQueezed
  924.                     files:  .EQE, .CQM, .LQR, .TQT, .DQC, etc.
  925. ABBRV          --   Abbreviation for the word: "abbreviation".
  926. ARC            --   File extension for an ARChive file -- many
  927.                     files combined together to save space and
  928.                     download time that require ARC.EXE,
  929.                     PKXARC.COM, ARCE.COM, or ARCLS.EXE to separate
  930.                     the files in to runnable and readable (in the
  931.                     case of text) form.
  932. BAS            --   Abbrv for "BASIC," as in the programming
  933.                     language.
  934. BBS            --   Abbrv for "Bulletin Board System".
  935. BBS's          --   Abbrv for "Bulletin Board Systems".
  936. BOARD          --   Also "Bulletin Board System".
  937. BOGUSWARE      --   Software that is damaging to one or more
  938.                     parties.
  939. BOOT or        --   To boot a computer is to restart it from
  940.  REBOOT             scratch, erasing all TSR programs.  One
  941.                     reboots by either powering off and then back
  942.                     on, or pressing ctrl-alt-del at the same time.
  943. BYTES          --   Bytes measure the length of a file, with one
  944.                     byte equaling one character in a file.
  945. CACHE [disk]   --   Area of memory set aside to hold recent data. 
  946.                     All programs then read recent data from that
  947.                     memory rather than from disk. 
  948. CLUSTER        --   A physical block on all [hard] disks
  949.                     composed of sectors that hold data.
  950. COM            --   File extension for a file that is executable
  951.                     from DOS level.
  952. DD             --   Abbrv for "dirty dozen".
  953. DOC            --   Abbrv for "documentation".
  954. EMS            --   Enhanced Memory Specification. An EMS card
  955.                     holds 2 MB extra memory.
  956. EXE            --   File extension for a file that is executable
  957.                     from DOS level.
  958. FIDONET        --   A network designed and created by Tom
  959.                     Jennings and his software. A TRADEMARK.
  960. HACKED         --   A program that has been changed in some way by
  961.                     another person or program.
  962. HIGH-LEVEL     --   This type of format is what most computer
  963.  FORMAT             users view as a regular DOS-format.  That is,
  964.                     formatting a disk using FORMAT.COM (included
  965.                     with DOS) is a high-level format.
  966. IBM            --   Abbrv for International Business Machines
  967. IBM OR COMP    --   IBM computer or a 99% or greater IBM
  968.                     Compatible computer.
  969. KB OR K        --   Abbrv for "KiloBytes."  One Kb equals 1024
  970.                     bytes.
  971. LBR            --   Extension on Library files.  Library files are
  972.                     really many combined files like ARChives, but
  973.                     they require different utilities to extract
  974.                     the individual files. Some examples of such
  975.                     utilities are LUU.EXE, LUE.EXE, LAR.EXE, AND
  976.                     ZIP.EXE.  See "ARC".
  977. LOW-LEVEL      --   This type of format is only executed on a
  978.  FORMAT             [Hard]disk; therefore, most [Hard] disk low-
  979.                     level format programs come only with a [Hard]
  980.                     disk controller card.  There are a few PD low-
  981.                     level formatting packages, though.  Most
  982.                     manufacturers low level format their [Hard]
  983.                     drives at the factory.  Low level formatting
  984.                     is the first step in the three-part formatting
  985.                     process; the second step is to use FDISK, and
  986.                     the third is to execute a high-level format.
  987. MB             --   Abbrv for "Megabytes," or "millions of bytes."
  988. MISC           --   Abbrv for "miscellaneous".
  989. OPTIMIZE       --   To make all files on a disk "contiguous," or
  990.                     physically linked together on a [hard] drive.
  991. PAK            --   An alternate ARCer used in the BBS community.
  992. PATCH          --   A file that is patched (combined) into another
  993.                     file to change the original file in some way.
  994. PD             --   Abbrv for "Public Domain".
  995. PIRATED        --   An altered program that normally is sold but
  996.                     hacked to resemble a PD program.
  997. RAM            --   Abbrv for "Random Access Memory" (memory
  998.                     used by software).
  999. RBBS           --   Abbrv for RBBS-PC, a type of BBS (Remote
  1000.                     Bulletin Board System).
  1001. ROM            --   Abbrv for "Read Only Memory" (memory used by
  1002.                     hardware to boot).
  1003. SDN            --   File extension used by SDNet/Works! to
  1004.                     identify an SDNet/Works! published ShareWare
  1005.                     files. These files are direct from the Author
  1006.                     and are be Virus/Trojan free if obtained from
  1007.                     participating SDNetWorks! BBS.
  1008. SDS            --   System Distribution System. A FidoNet
  1009.                     subsystem that is used to distribute BBS
  1010.                     software, utilities, and newsletters.
  1011. SYSOP          --   Abbrv for SYStem OPerator of a BBS.
  1012. TROJAN         --   Program used to destroy or hamper a computer
  1013.                     in some manner.
  1014. TSR            --   Abbrv for "Terminate and Stay Resident";
  1015.                     Synonym = "Memory Resident".
  1016. TXT            --   Abbrv for "text".
  1017. USU            --   Abbrv for "usually".
  1018. UNP            --   Abbrv for "unprotect".
  1019. UNPROTECT      --   An "unprotect file" is a patch file that
  1020.                     results in the breaking of copy protection (no
  1021.                     doubt for backup purposes).
  1022. UTIL           --   Abbrv for "utility".
  1023. VIRUS/WORM     --   The Ultimate Trojan! Designed to infect the
  1024.                     computer system and to replicate itself to
  1025.                     survive.
  1026. ZIP            --   An alternate ARCer used by the BBS community.
  1027. ZOO            --   All files compressed with ZOO.EXE bear this
  1028.                     file extension.  ZOO-compressed files are NOT
  1029.                     compatible with ARC.EXE.
  1030.  
  1031.  
  1032.             << End of file >>
  1033.