home *** CD-ROM | disk | FTP | other *** search
/ Media Share 9 / MEDIASHARE_09.ISO / mag&info / hack9305.zip / FILETSTS.LZH / PKZIPFIX.RES < prev    next >
Text File  |  1993-03-06  |  7KB  |  150 lines
  1.   =========================================================================
  2.                                     ||
  3.   From the files of The Hack Squad: ||  by Lee Jackson, Co-Moderator,
  4.                                     ||  FidoNet International Echo SHAREWRE
  5.           The Hack Report           ||  Volume 2, Number 2
  6.          File Test Results          ||  Result Report Date: Feb. 7, 1993
  7.                                     ||
  8.   =========================================================================
  9.  
  10.   *************************************************************************
  11.   *                                                                       *
  12.   *  The following test was performed by and the results are courtesy     *
  13.   *     of Jeff White and Bill Logan of the Pueblo Group in Tuscon,       *
  14.   *         Arizona.  Their assistance is greatly appreciated.            *
  15.   *                                                                       *
  16.   *************************************************************************
  17.  
  18.  
  19.   Results of test on: PKZIPFIX.ZIP
  20.  
  21.   File description: Fix for volume bug in PKZIP v2.04c
  22.  
  23.   Synopsis:
  24.  
  25.   When the latest release of PKZ from PKWare came out, there was a bug
  26.   with the volume label being added to the archive. This program was
  27.   designed (?) to fix that bug.
  28.  
  29.   It does indeed fix the bug, but remains a hacked copy of a copyrighted
  30.   piece of software and therefore is suspicious.
  31.  
  32.   First of all, the author managed to crack PKWare's Commercial PKLite
  33.   compression, which shouldn't be able to be expanded.  When the author
  34.   hacked PKZ204C, he re-PKLited the fix, but with the standard version of
  35.   PKLite, which allows it to be expanded.
  36.  
  37.   Also, there is questionable code contained in this "fix". Most notably,
  38.   the words "Erasing contents of drive, completed" appear towards the end
  39.   of the program.  Every command line switch I could think of that might
  40.   prompt this response did not bring these words up.  It is possible it
  41.   is waiting for some time or criteria to activate, or it could be
  42.   associated with an option I am not familiar with.  PKZ 193 and 204c are
  43.   non-expandable, and therefore couldn't be checked for this text, but
  44.   PKZ 110 was checked and it did NOT contain this text.
  45.  
  46.   Integrity Master was used to ensure that nothing on the drive was
  47.   changed that shouldn't have been.  McAfee's ViruScan was used to ensure
  48.   that PKZIPFIX was not a dropper for an existing virus.
  49.   ======================================================================
  50.   File information:
  51.  
  52.         File Name:  pkzipfix.zip
  53.              Size:  40,912
  54.              Date:  12-28-1992
  55.   File Authentication:
  56.        Check Method 1 - 082F
  57.        Check Method 2 - 059C
  58.   ======================================================================
  59.   File contents:
  60.  
  61.   Length  Method   Size  Ratio   Date    Time    CRC-32  Attr  Name
  62.   ======  ======   ===== =====   ====    ====   ======== ====  ====
  63.    41935  DeflatX  40796   3%  12-28-92  02:04  7dc49363 --w-  PKZIP.EXE
  64.   ======          ======  ===                                  =======
  65.    41935           40796   3%                                        1
  66.   ======================================================================
  67.   PKZIP.EXE check:
  68.  
  69.   CHK4LITE (tm)  Check for files compressed by PKLITE   Version 1.15
  70.   7-30-92 Copyright 1990-1992 by PKWARE Inc.  All Rights Reserved.
  71.  
  72.   PKZIP.EXE      Compressed with PKLITE (tm) Ver. 1.15
  73.   ======================================================================
  74.   Validation check on PKZIP.EXE **after** unPKLITEing
  75.  
  76.         File Name:  pkzip.exe
  77.              Size:  55,370
  78.              Date:  12-28-1992
  79.   File Authentication:
  80.        Check Method 1 - E8B1
  81.        Check Method 2 - 1224
  82.   ======================================================================
  83.   ViruScan of PKZIP.EXE **after** unPKLITEing
  84.  
  85.   Scanning memory for critical viruses.
  86.  
  87.   Scanning Volume: DRIVE I
  88.   Scanning C:PKZIP.EXE
  89.  
  90.    No viruses found.
  91.   ======================================================================
  92.   Use:
  93.  
  94.   The PKZIP released in PKZ204C.EXE would not properly add a volume label
  95.   when the -$ option was specified.
  96.  
  97.   The version of PKZIP.EXE release in PKZIPFIX.ZIP does indeed fix this
  98.   bug. Example follows.
  99.  
  100.   Attempt to use the -$ option with PKZIP 2.04c:
  101.  
  102.   PKZIP (R)   FAST!   Create/Update Utility   Version 2.04c   12-28-92
  103.   Copr. 1989-1992 PKWARE Inc.  All Rights Reserved.  Shareware Version
  104.   PKZIP Reg. U.S. Pat. and Tm. Off.   Patent No. 5,051,745
  105.  
  106.   * XMS version 3.00 detected.
  107.   * Using Normal Compression.
  108.  
  109.   Creating ZIP: PKZTEST2.ZIP
  110.     Adding: PKZIP.EXE  Deflating %  (30%), done.
  111.  
  112.                                  = = =
  113.  
  114.   Attempt to use the -$ option with PKZIP.EXE from PKZIPFIX.ZIP
  115.  
  116.   PKZIP (R)   FAST!   Create/Update Utility   Version 2.04c   12-28-92
  117.   Copr. 1989-1992 PKWARE Inc.  All Rights Reserved.  Shareware Version
  118.   PKZIP Reg. U.S. Pat. and Tm. Off.   Patent No. 5,051,745
  119.  
  120.   * XMS version 3.00 detected.
  121.   * Using Normal Compression.
  122.  
  123.   Creating ZIP: PKTEST1.ZIP
  124.     Adding: PKZIP.EXE    Deflating %  (30%), done.
  125.     Adding: DRIVE I      Storing      ( 0%), done.
  126.   ======================================================================
  127.   Integrity Master v1.41a was reinitialized for drive C: before testing.
  128.   Comparing drive C:'s data (after multiple executions of PKZIP.EXE) to
  129.   the backup information showed no changes or virus activity.  McAfee's
  130.   ViruScan confirmed no known virus activity.
  131.   ======================================================================
  132.   Suspicious code:
  133.  
  134.   PKZIP.EXE contains several questionable pieces of code.  Although we
  135.   were unable to get PKZIP.EXE to do anything damaging, it is possible
  136.   that, under the right circumstances, PKZIP.EXE could prove to be a
  137.   trojan.
  138.  
  139.   The suspicious code is as follows:
  140.  
  141.       Address:  0000d0e0-0000d110
  142.       Code:     x:/ x:  *.* /  Erasing contents of drive, completed.
  143.  
  144.   The above could be a reference to a temporary drive (although I used a
  145.   temporary drive using the -B command line switch and got no such
  146.   response) or in conjunction with a switch (unbeknownst to myself) that
  147.   might possibly delete files as they are archived.  It should be noted
  148.   that PKZIP.EXE as included in PKZ110.EXE contains none of this code.
  149.   Later releases of PKZIP.EXE cannot be checked since they are compressed
  150.   with PKLite and are non-expandable.