home *** CD-ROM | disk | FTP | other *** search

---

/ The World of Computer Software / World_Of_Computer_Software-02-385-Vol-1of3.iso / h / hack9301.zip / HACK9301.RPT

< prev

next >

Wrap

Text File  |  1993-01-03  |  39KB  |  805 lines

---

1.   =========================================================================
2.                                     ||
3.   From the files of The Hack Squad: ||  by Lee Jackson, Co-Moderator,
4.                                     ||  FidoNet International Echo SHAREWRE
5.           The Hack Report           ||  Volume 2, Number 1
6.          for January, 1993          ||  Report Date: January 3, 1993
7.                                     ||
8.   =========================================================================
9.  
10.   Welcome to the first 1993 issue of The Hack Report.  This is a series
11.   of reports that aim to help all users of files found on BBSs avoid
12.   fraudulent programs, and is presented as a free public service by the
13.   FidoNet International Shareware Echo and the author of the report, Lee
14.   Jackson (FidoNet 1:382/95).
15.  
16.   This issue begins a brand new year for us here at Hack Central Station.
17.   As you will soon note, this report is quite a bit shorter that the last
18.   1992 issue.  This is due to all previously reported (and confirmed) files
19.   being removed from the list:  they are still listed in the file
20.   HACK92FA.RPT, which comes with the archive version of this report.  Only
21.   unsettled/unconfirmed listings from last year's issues are carried over.
22.   If you have a copy of the December report, please don't delete it, since
23.   you'll need it as a reference to previously reported files.
24.  
25.   There are quite a few important listings this time around, including a
26.   clarification of a file that has caused quite a bit of work for your Hack
27.   Squad.  Thanks to everyone who has helped put this report together, and
28.   to those that have sent in comments and suggestions.
29.  
30.   NOTE TO SYSOPS: The Hack Report may be freely posted as a bulletin on
31.   your BBS, subject to these conditions:
32.  
33.              1) the latest version is used,
34.              2) it is posted in its entirety, and
35.              3) it is not altered in any way.
36.  
37.   NOTE TO OTHER READERS: The Hack Report (file version) may be freely
38.   uploaded to any BBS, subject to the above conditions, and only if you do
39.   not change the filename.  You may convert the archive type as you wish,
40.   but please leave the filename in its original HACK????.* format.  The
41.   Hack Report may also be cross-posted in other networks (with the
42.   permission of the other network) as long as it meets the above conditions
43.   and you give appropriate credit to the FidoNet International Shareware
44.   Echo (and the author <g>).
45.  
46.   The idea is to make this information available freely.  However, please
47.   don't cut out the disclaimers and other information if you use it, or
48.   confuse the issue by spreading the file under different names.  Thanks!
49.  
50.   DISCLAIMER: The listings of Official Versions are not a guarantee of the
51.   files' safety or fitness for use.  Someone out there might just be
52.   sick-minded enough to upload a Trojan with an "official" file name, so
53.   >scan everything you download<!!!  The author of this report will not be
54.   responsible for any damage to any system caused by the programs listed as
55.   Official Versions, or by anything using the name of an Official Version.
56.  
57.   *************************************************************************
58.  
59.                     Much Ado about Telix - an Editorial
60.  
61.   Before we begin this month's carnage and mayhem, please allow me to clear
62.   up a question that has just about resulted in the total weardown of your
63.   Hack Squad's keyboard.
64.  
65.   When the December issue of The Hack Report was written, the latest
66.   official release of Telix was version 3.15, which still carried the Exis
67.   trademark.  At that time, the new owners of Telix, deltaComm, were in the
68.   process of beta testing a shareware upgrade to their program.  Since it
69.   is the official policy of this report not to advertise upcoming releases,
70.   and since the version number was not known to this reporter, the pending
71.   upgrade was not mentioned in the report.
72.  
73.   Within a week after the December issue came out, deltaComm released their
74.   upgrade.  They chose 3.20 as the new version number, which is (of course)
75.   their legal right.  Unfortunately, this happened to coincide with a
76.   previously reported hacked version number, which was listed in the
77.   December issue.
78.  
79.   Of course, the result of this was that there were many questions sent to
80.   Hack Central Station, all asking for confirmation of this new Telix that
81.   had been uploaded to the questioners' BBS systems, or seen on the
82.   questioners' favorite boards.  The response to all questions was the
83.   same:  the new version is legitimate, as long as it has deltaComm's logo
84.   and a release date of either December 10th or December 14th, 1992.
85.  
86.   This incident is entirely my fault:  it is my responsibility, as author
87.   of The Hack Report, to stay up to date on the latest official versions of
88.   files listed in this report.  I apologize for the inconvenience and
89.   uncertainty that this has caused, and I hope that all of you, as readers
90.   of this report, can forgive the oversight of a tired (and slightly
91.   underpaid <g>) reporter.
92.  
93.   =========================================================================
94.  
95.                               Hacked Programs
96.  
97.   Here are the latest versions of some programs known to have hacked copies
98.   floating around.  Archive names are listed when known, along with the
99.   person who reported the fraud (thanks from us all!).
100.  
101.    Program              Hack(s)            Latest Official Version
102.    -------              -------            -----------------------
103.    BNU FOSSIL Driver    BNU202                     BNU170
104.       Reported By: Amauty Lambrecht (2:291/712)    (not counting betas)
105. |                       BNU188B
106. |     Reported By: David Nugent (3:632/348),
107.                     Author of BNU
108.  
109. |  F-Prot Virus Scanner FP-205B                    FP-206B
110. |     Reported By: Bill Lambdin (1:343/45)
111.  
112.    PKLite               PKLTE201                   PKL115
113. |     Reported By: Wen-Chung Wu (1:102/342)
114.  
115.    PKZip                PKZ301                     PKZIP110
116. |     Reported By: Mark Dudley (1:3612/601)
117. |                  Jon Grimes (1:104/332)
118.  
119.  
120. |  Shez                 SHEZ72A                    SHEZ83
121.                         SHEZ73
122.       Reported By: Bill Lambdin (1:343/45)
123.  
124.  
125. |  Telix                Telix v3.20                TLX320-1
126. |                        (Prior to Dec. 1992)      TLX320-2
127. |                       Telix v3.25                TLX320-3
128. |     Reported By: Brian C. Blad (1:114/107)       TLX320-4
129.                    Peter Kirn (WildNet, via
130.                                  Ken Whiton)
131.                         Telix v4.00
132.                         Telix v4.15
133.       Reported By: Barry Bryan (1:370/70)
134.                         Telix v4.25
135.       Reported By: Daniel Zuck (2:247/30, via Chris
136.                     Lueders (2:241/5306.1)
137.                         MegaTelix
138.       Verified By Jeff Woods, deltaComm, Inc.
139. |       Please Note - the 3.20 release dated either December 10th
140. |       or December 14th, 1992, is legitimate:  any earlier file
141. |       calling itself v3.20 and carrying an Exis, Inc. trademark
142. |       is not legitimate.  Please thoroughly check your version
143. |       prior to sending questions to this reporter! <g>
144.                         Telix Pro
145.      Reported By: Jason Engebretson (1:114/36),
146.                    in the FidoNet TELIX echo
147.  
148.   =========================================================================
149.  
150.                                 Hoax Alert:
151.  
152. | HW Mikael Winterkvist received a program from Kai Sundren (2:201/150)
153. | called RAOPT.  This file, which claims to "optimize" your RemoteAccess
154. | BBS files, appears to do nothing except read your USERS.BBS file and
155. | report how many users it has read.  The program itself says it should be
156. | run twice.  I don't know if Mikael did this, but I hope he didn't.
157. |
158. | The program contains a copyright for Continental Software and a version
159. | number of 1.11.  It also asks for registration.
160. |
161. | Mikael asked the author of RemoteAccess, Andrew Milner, whether or not
162. | the program was legitimate.  Andrew's response was a resounding No.  So,
163. | even though the file doesn't appear to do anything destructive, your Hack
164. | Squad advises you to delete it if you see it.
165.  
166.  
167. | Last year, a warning about a virus called PROTO-T was widely circulated.
168. | The message warned that the virus had the ability to hide in the RAM of
169. | VGA cards, hard disks, and "possibly, in modem buffers." It went on to
170. | warn that the virus was placed in two files:  one called "TEMPLE," and in
171. | a hack of PKZip, version "3.x".
172. |
173. | Your Hack Squad managed to obtain a copy of the hack of PKZip, PKZ305,
174. | and sent it to Bill Logan and Jeff White of the Pueblo Group for testing.
175. | Here, now, is the result of their efforts:
176. |
177. | Report for possible hack file PKZ305
178. |
179. |   Filename: PKZ305.EXE
180. |   Filesize: 110187
181. |   Filedate: 9-10-92
182. |   Filetime: 5:25p
183. |
184. |   =====================================================================
185. |
186. |   Contents of PKZ305.EXE:
187. |
188. |   PKSFX (R)   FAST!   Self Extract Utility   Version 1.1   03-15-90
189. |   Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKSFX/h for help
190. |   PKSFZ Reg. U.S. Pat. and Tm. Off.
191. |
192. |   Searching EXE: C:/VIRUS/PKZ305.EXE
193. |     Exploding: WHATSNEW.305  -AV
194. |     Exploding: OMBUDSMN.ASP  -AV
195. |     Exploding: ADDENDUM.DOC  -AV
196. |     Exploding: BENCH.DOC     -AV
197. |     Exploding: DEDICATE.DOC  -AV
198. |     Exploding: LICENSE.DOC   -AV
199. |     Exploding: MANUAL.DOC    -AV
200. |     Exploding: ORDER.DOC     -AV
201. |     Exploding: README.DOC    -AV
202. |     Exploding: PKUNZIP.EXE   -AV
203. |     Exploding: PKZIP.EXE     -AV
204. |     Exploding: AUTHVERI.FRM  -AV
205. |     Exploding: APPNOTE.TXT   -AV
206. |
207. |   Authentic files Verified!   # GPI257   PKWARE Inc.
208. |   Thank you for using PKWARE!  PKWARE Support BBS (414) 352-7176
209. |   If The -AV Code Is Not GPI257, Then You Have Downloaded A Hack Version
210. |   ======================================================================
211. |
212. |   CRC Results:
213. |
214. |   Searching ZIP: PKZ305.EXE
215. |
216. |    Length  Size  Ratio   Date    Time    CRC-32  Attr  Name
217. |    ======  ===== =====   ====    ====   ======== ====  ====
218. |      1094    727  34%  09-10-92  17:25  75959145 --w-  WHATSNEW.305
219. |       595    442  26%  09-10-92  17:25  167904ac --w-  OMBUDSMN.ASP
220. |      5487   2039  63%  09-10-92  17:25  af094473 --w-  ADDENDUM.DOC
221. |       908    621  32%  09-10-92  17:25  e0ed85ab --w-  BENCH.DOC
222. |       720    434  40%  09-10-92  17:25  253e799b --w-  DEDICATE.DOC
223. |      9366   3228  66%  09-10-92  17:25  c917b5c2 --w-  LICENSE.DOC
224. |    140642  34426  76%  09-10-92  17:25  4e0e8078 --w-  MANUAL.DOC
225. |      4701   1464  69%  09-10-92  17:25  6e20e127 --w-  ORDER.DOC
226. |       801    526  35%  09-10-92  17:25  191b5ddf --w-  README.DOC
227. |     27908  18815  33%  09-10-92  17:25  b86b40de --w-  PKUNZIP.EXE
228. |     35934  23943  34%  09-10-92  17:25  bcac5c03 --w-  PKZIP.EXE
229. |      1748    866  51%  09-10-92  17:25  fc23095e --w-  AUTHVERI.FRM
230. |     25811   8390  68%  09-10-92  17:25  4f35b70d --w-  APPNOTE.TXT
231. |    ====== ======  ===                                  =======
232. |    255715  95921  63%                                       13
233. |
234. |   ======================================================================
235. |
236. |   Results of ViruScan:
237. |
238. |   SCAN /NOMEM *.EXE
239. |
240. |   SCAN 8.9B97 Copyright 1989-92 by McAfee Associates.  (408) 988-3832
241. |   Scanning for known viruses.
242. |
243. |   Directory C:. contains 3 files.
244. |
245. |    No viruses found
246. |
247. |   SCAN 8.9B97 Copyright 1989-92 by McAfee Associates.  (408) 988-3832
248. |
249. |   =====================================================================
250. |
251. |   Compression test of PKZ305:
252. |
253. |   Compression of PKZ305 was comparable to PKZ193A
254. |
255. |   =====================================================================
256. |
257. |   Memory report:
258. |
259. |   The test machine had 655360 bytes total memory
260. |
261. |   Available memory remained at 583312 bytes free before and after
262. |   testing
263. |
264. |   =====================================================================
265. |
266. |   File activity:
267. |
268. |   Using DISKMON, the only files PKZ305 affected were the test
269. |   compression files (i.e., the ZIP file ZIPed and UNZIPed)
270. |
271. |   =====================================================================
272. |
273. |   Trojan activity:
274. |
275. |   None
276. |
277. |   =====================================================================
278. |
279. |   Virus activity:
280. |
281. |   VSHIELD loaded prior to testing, with no virus activity reported.
282. |   Complete scan of drive after test showed nothing.
283. |
284. |   =====================================================================
285. |
286. | So, this would seem to confirm earlier findings by Bill Lambdin that the
287. | hack of PKZip was nothing more than a hack.  Please note, however, that
288. | human nature has reigned supreme here - there are apparently 3 different
289. | viruses in circulation calling themselves Proto-T now.  None exhibit the
290. | behaviour described in the hoax warning, though.
291.  
292.   =========================================================================
293.  
294.                               The Trojan Wars
295.  
296.   The Trojan writers seem to have had a problem with RemoteAccess BBS
297.   systems last month, since several of the reported files were aimed at RA
298.   users.  To see what happened, read on.
299.  
300.  
301. | Frans Hagelaars (2:512/2) posted a message in several echos last month
302. | concerning a Trojan version of the Blue Wave Offline Mail Reader that had
303. | been circulating in his area.  According to the warning, the "hacked"
304. | version attacks your hard drive boot sector and partition table, and will
305. | then "play tricks" with RemoteAccess userlists and phone numbers.
306. |
307. | The filename of this version was not given in the report, nor was it made
308. | clear whether the BBS door or the Reader was involved.  If you have any
309. | questions about the security of your copy, remember that you can always
310. | obtain a safe copy from the BBS of the author, George Hatchew, at FidoNet
311. | address 1:2240/176, phone number 1-313-743-8464, or from any of the
312. | official distribution sites (which I believe are listed in the
313. | documentation for the program).
314.  
315.  
316. | Sylvain Simard sent a file to Hack Central Station called RAFIX.  The
317. | documentation of the file claims to fix "little bugs" in RemoteAccess BBS
318. | systems.  I looked inside the file with a hex editor and found the string
319. | "COMMAND /C FORMAT C:".  It would appear that the program intends to do
320. | more than fix your BBS.
321.  
322.  
323. | Michael Toth (1:115/220) forwards a report from David Gibbs, posted in
324. | his local Net115 SysOps Forum, concerning a file called ROLEX.  The copy
325. | which David obtained contained the Keypress [Key] virus, according to
326. | McAfee's ViruScan.  Probably an isolated incident, but be aware that such
327. | a file exists.
328.  
329.  
330. | Bill Dirks (1:385/17) has confirmed the sighting of the VGA BBS Ad Trojan
331. | reported by Stephen Furness (1:163/273).  Stephen saw the file under the
332. | name RUNME.  Bill reports it under the name ANSISCR, but containing the
333. | files RUNME.BAT, LOAD1.ANS, VGAC1.DAT, and VGAPAK.EXE.
334. |
335. | The batch file types out the LOAD1.ANS file, which contains a bit of
336. | profanity, and then renames VGAC1.DAT to VGAC1.BAT and runs it.  This
337. | apparently invokes VGAPAK.EXE, which is a self-extracting archive that
338. | contains the Yankee Doodle and AntiChrist viruses, among other things.
339. | It then does quite a few other surprises, eventually winding up by
340. | trashing your hard drive, a possibly non-functional keyboard, and a
341. | couple of viruses on your system.
342. |
343. | This is a very elaborate Trojan, in that most of the activity can't be
344. | detected until you reboot your system and see its results.  As Bill
345. | rightly says, "this isn't a very nice little program...."
346.  
347.  
348. | Another report from Bill Dirks involves an ANSI bomb called MUVBACK.  The
349. | file is described as a keyboard utility "similar to Doskey."  The bomb
350. | reprograms the D key of your keyboard to invoke DEBUG.  It feeds a script
351. | file to DEBUG which creates two short .com files:  due to a bug in the
352. | script, only one of them, EAT-ME.COM, actually works.  This new program
353. | overwrites the first 500 sectors of your hard drive.  If you press the
354. | spacebar instead of the D key, your system locks due to the bug in the
355. | script.  Bill also says the file contains a text file called ALAMER.TXT,
356. | written in German.  Quite ingenious, and also quite nasty.
357.  
358.  
359. | Rich Veraa (1:135/907) forwards a report by Victor Padron (1:3609/14) of
360. | yet another ANSI bomb, called REAPER.ANS.  The file, when typed at the
361. | DOS prompt (an if an ANSI driver which allows key redefinition is
362. | installed), turns your keyboard into an insult generator, attempts to
363. | format your hard drive by invoking the FORMAT program, and deletes files.
364. | In Victor's case, it deleted the files in his BBS directory.
365. |
366. | ANSI bombs are quite nasty when they have access to an ANSI driver, such
367. | as ANSI.SYS (supplied with most DOS releases), which allows the user to
368. | redefine their keyboard.  The bomb will take advantage of this and cause
369. | common keystrokes to be remapped to destructive commands.
370. |
371. | They can be thwarted in most cases by using an ANSI driver which either
372. | does not allow key redefinition, or which allows this feature to be
373. | disabled by the user.  ZANSI, NANSI.SYS, NNANSI.COM, and ANSIPlus are a
374. | few such drivers which your Hack Squad is aware of.  Also available is a
375. | driver called PKSFANSI, from PKWare, which works in tandem with any ANSI
376. | driver and traps out attempts to remap your keyboard.
377.  
378.  
379. | HW Nemrod Kedem received a file from a user called SPEED, which was
380. | described as a program to "check your PC speed."  Here's the file info:
381. |
382. |    FileName       Size       Date       Time    Attr    CRC-32
383. |   =========      ======   ===========  ======   ====   ========
384. |   SPEED.EXE        3134   23-Dec-1992   18:30   ...A   1E0AA3D7
385. |
386. | This program displayed the following on the screen when run:
387. |
388. |   Please wait while SystemDisk is checking for directories in disk...
389. |
390. |   @ECHO.
391. |
392. | ...and then proceeded to delete all files on drive C:, including
393. | directories.  Avoid this if you see it.
394.  
395.  
396. | Mike Wenthold (1:271/47) sent in a couple of reports.  The first involves
397. | a file called REDFOX, which is batch file that deletes all DOS and system
398. | files.  The second involves LOGIM613, which appears to be some sort of
399. | mouse driver package (I can't verify if it is a Logitech driver, even if
400. | the archive has LOGI as part of its name).  This probable isolated
401. | incident contains a file, MOUSE.COM, dated May 22, 1992, and 40681 bytes
402. | in size, which is infected with the VCL virus (according to McAfee's
403. | ViruScan v95).
404.  
405.   =========================================================================
406.  
407.                         Pirated Commercial Software
408.  
409.   Program                 Archive Name(s)     Reported By
410.   -------                 ---------------     -----------
411. | Psion Chess             3D-CHESS            Matt Farrenkopf (1:105/376)
412.  
413. | Battle Chess            CHESS               Ron Mahan (1:123/61)
414.  
415. | Commander Keen          _1KEEN5             Scott Wunsch (1:140/23.1701)
416. |  (part 5)
417.  
418. | Darkside (game)         DARKSIDE            Ralph Busch (1:153/9)
419.  
420. | F-Prot Professional     FP206SF             Mikko Hypponen
421. |                                              (mikko.hypponen@compart.fi)
422.  
423. | Over the Net            OTNINC1             Tim Sitzler (1:206/2708)
424. |  (volleyball game)
425.  
426. | Rack 'Em (game)         RACKEM              Ruth Lee (1:106/5352)
427.  
428. | SimCity (by Maxis)      SIMCTYSW            Scott Wunsch
429.  
430.   =========================================================================
431.  
432.                       ?????Questionable Programs?????
433.  
434. | First, a quick note - this section, along with the Information, Please
435. | section, are the only ones that have any information carried over from
436. | the 1992 report.  This is because many of the listings in these sections
437. | were not completely resolved when the last 1992 issue was published.  As
438. | usual, if anyone has any additional information on anything listed in
439. | these sections, _please_ help!
440.  
441.  
442. | HW Ken Whiton forwards messages from Harold Stein, Gary Rambo, and Gwen
443. | Barnes of Mustang Software, Inc., about a "patch" program aimed at
444. | OffLine Xpress (OLX) v1.0.  The patch is supposed to allow OLX to
445. | read and reply to Blue Wave packets, along with a lot of other seemingly
446. | unbelievable feats.  Gwen Barnes did not seem to know of the patch, but
447. | published the following advice in the WildNet SLMROLX conference to
448. | anyone considering trying it:
449. |
450. |   1. Make a complete backup of your system.
451. |   2. Make sure you've got all the latest SCAN stuff from McAfee
452. |   3. Try it, keeping in mind that it more than likely does nothing
453. |      at all, or is a trojan that will hose your system.
454. |   4. Get ready to re-format and restore from backups if this is in
455. |      fact the case.
456. |
457. | No filename was given for this patch.  If anyone runs across a copy of
458. | it, please contact one of The HackWatchers or myself so that we can
459. | forward a copy to MSI for testing.
460.  
461.  
462. | Another message forwarded to Ken by Harold, this time from Brent Lynch in
463. | the WildNet GAMES Conference, concerns a game under the filename SF2BETA.
464. | I believe Brent is referring to the game Stick Fighter II (or Street
465. | Fighter II), which has received considerable discussion in the FidoNet
466. | PDREVIEW and SHAREWRE echos.
467. |
468. | Brent implies that the game is by a company called Capcom, and says that
469. | while the game is in Vietnamese (some have described the language as
470. | either Chinese or Korean - no way to tell, since I haven't seen a copy),
471. | the setup for the game is in English.
472. |
473. | Some folks have guessed that some of the screens of this game were
474. | "captured" from a Nintendo or other game cartridge using a device called
475. | either a Genlock or a Super Magicom (I think).  While this might be legal
476. | for home use, it may well be illegal to distribute a file created in this
477. | manner.
478. |
479. | If someone can shed some light on this situation, please do so - it's
480. | starting to become very confusing.
481.  
482.  
483. | Bill Lambdin (1:343/45) reports that someone has taken all of McAfee
484. | Associates' antiviral programs and combined them into one gigantic (over
485. | 700k) archive.  He did not say whether the files had been tampered with,
486. | but he did send a copy to McAfee for them to dissect.  The file was
487. | posted under the filename MCAFEE99.  I would not suggest downloading this
488. | file:  as a matter of fact, this reporter prefers to call McAfee's BBS
489. | directly when a new version of any of their utilities comes out.  I
490. | highly recommend this method, since it insures that you will receive an
491. | official copy.
492.  
493.  
494.   HW Matt Kracht forwarded a message from Stu Turk in the DR_DEBUG
495.   echo about possible Trojans going around as PKZIP 2.21 and/or 2.22.  Stu
496.   also says that there is a warning about these in circulation.  If you
497.   have a copy of this warning, please send a copy to Hack Central Station
498.   (1:382/95).
499.  
500.  
501.   =========================================================================
502.  
503.                             Information, Please
504.  
505.   This the section of The Hack Report, where your Hack Squad asks for
506.   _your_ help.  Several reports come in every week, and there aren't enough
507.   hours in the day (or fingers for the keyboards) to verify them all.  Only
508.   with help from all of you can The Hack Report stay on top of all of the
509.   weirdness going on out there in BBSLand.  So, if you have any leads on
510.   any of the files shown below, please send it in: operators are standing
511.   by.
512.  
513.  
514. | Onno Tesink (2:283/318) has sighted a file called LHA255B.  This claims
515. | to be version 2.55b of the LHA archiver, with a file date in the
516. | executable of 12/08/92.  He compared the file to the latest known
517. | official release, v2.13, and found two additional program options which
518. | were mentioned when the program was invoked with no command line
519. | (generating a help screen).  The archive contained nothing but the
520. | executable file.  Viral scans were negative.
521. |
522. | I have not heard of any further development going on by the author of
523. | LHA, H. Yoshi, but that wouldn't be a first. <g>  If anyone knows of a
524. | new version of LHA, please contact your nearest HackWatcher and lend a
525. | hand.
526.  
527.  
528. | Travis Griggs (1:3807/4.25) forwarded a report from a local board called
529. | The Forum (phone number 1-318-528-2107) by a user named Susan Pilgreen.
530. | The message referred to a file called BOUNCE, which she said was infected
531. | with the Russian Mirror virus.  The file, according to Travis, claimed to
532. | be a game.  I would appreciate further confirmation of this sighting.
533.  
534.  
535. | Brian Keahl (1:133/524) stated in the VIRUS_INFO echo that a program
536. | called PC-Mix (no archive name given) is a commercial program that is
537. | being erroneously distributed as shareware.  HW Richard Steiner was
538. | contacted by Bill Ziegler (1:121/34), who says his copy appears to be the
539. | commercial program, but with a crippled manual to encourage registration.
540. | I think this is sufficient to resolve this situation.
541.  
542.  
543. | An update on a warning from Mark Stansfield (1:115/404), concerning
544. | the files KILL and PROTECT.  He claims that these delete the user's hard
545. | drive when run.  Dan Onstott (1:100/470) reported in the FidoNet SHAREWRE
546. | echo that he has a small utility called PROTECT.COM (205 bytes, dated
547. | 12-10-86), which is a write-protect utility for your hard drive.  He says
548. | he has never had a problem with it.  So, Mark's report may be an isolated
549. | incident.  If anyone else sees the files Mark mentioned, please advise.
550.  
551.  
552.   Bill Lambdin forwards a message from Mario Giordani in the ILink Virus
553.   Conference about two files.  The archives, called PHOTON and NUKE, are
554.   possibly droppers, containing a file called NUKE.COM which "will trash
555.   your HD."
556.  
557. | Pat Finnerty (1:3627/107) sent a reply to the last report of this,
558. | stating that he has a copy of a PC Magazine utility called NUKE.COM,
559. | which is used to remove subdirectories which contain "nested subs,
560. | hidden, read-only (you name it)."  He says that the command NUKE C:\ will
561. | effectively delete everything on a hard drive, with no chance of repair.
562. | This is merely the way the program is designed.
563.  
564.   I do not know if this is what happened in Mario's case, or if Mario
565.   actually found a copy (read: isolated incident) which was infected. Bill
566.   has asked Mario for further information, and I would like to echo his
567.   call for help.  If you know of this, please lend a hand.
568.  
569.  
570.   Another one forwarded by Bill comes from Michael Santos in the Intelec
571.   Net Chat conference, concerning a screen saver named IM.  This is only a
572.   "hearsay" report from one of Michael's friends, who says he downloaded it
573.   and wound up with a virus.  There is no way to tell if the infection came
574.   from the file itself or if it was already present on his friend's system.
575.   Once again, if anyone can clear this up, please do so.
576.  
577.  
578.   Ned Allison (1:203/1102) forwarded a report into the FidoNet DIRTY_DOZEN
579.   echo from a user of The Mailbox BBS in Cleveland (216/671-7534) named
580.   Rich Bongiovanni.  Rich reports that there is a file floating around
581.   called DEMON WARS (archive name DMNWAR52) that is "infected with a
582.   virus."  If true, this may be an isolated incident.  I would appreciate
583.   confirmation on this.
584.  
585.  
586.   Greg Walters (1:270/612) reports a possible isolated incident of a
587.   problem with #1KEEN7.  When he ran the installation, he began seeing on
588.   his monitor "what looked like an X-rated GIF."  The file apparently
589.   scanned clean.  Any information on similar sightings would be
590.   appreciated.
591.  
592.  
593.   A report from Todd Clayton (1:259/210) concerns a program called
594.   ROBO.EXE, which he says claims to apparently "make RoboBoard run 300%
595.   faster."  He says he has heard that the program fools around with your
596.   File Allocation Table.  I have not heard any other reports of this, so I
597.   would appreciate some confirmation from someone else who has seen similar
598.   reports.
599.  
600.  
601.   Kelvin Lawson (2:258/71) posted a message in the SHAREWRE echo about a
602.   possible hack of FEBBS called F192HACK.  I have not seen this file, nor
603.   has the author of FEBBS, Patrik Sjoberg (2:205/208).  He forwards the
604.   file sizes in the archive, reported here:
605.  
606.         Name          Length      Mod Date  Time     CRC
607.         ============  ========    ========= ======== ========
608.         FEBBS.EXE       220841    09 Mar 92 21:17:00 96D2E08D
609.         014734.TXT        1403    26 Aug 92 01:59:18 3B9F717F
610.         ============  ========    ========= ======== ========
611.         *total     2    222244    26 Aug 92 01:59:24
612.  
613.   Kelvin says the .TXT file is just an advert for a BBS, so it is "not
614.   relevant!".  As I said, the author of FEBBS has never seen this file, so
615.   I've asked Kelvin to forward a copy of it to him.
616.  
617.  
618.   Mark Draconis (1:120/324) has found a file called TELE214R, claiming to
619.   be the latest version of Teledisk.  He asked for verification in the
620.   FidoNet SHAREWRE echo of its status.  On this same line, Kelvin Lawson
621.   reports TELE215R.  Steve Quarrella (1:311/405) believes that the program
622.   has gone commercial, perhaps after version 2.12 or 2.13.  Your Hack Squad
623.   has no idea, and has not yet had a chance to call Sydex by voice.  Please
624.   help.
625.  
626.  
627. | Your Hack Squad has seen several references to a release of Scorched
628. | Earth calling itself v2.0 (SCORCH20).  The latest official version I am
629. | aware of is v1.21.  If someone can verify the latest release number,
630. | please do so.
631.  
632.  
633.   Andrew Owens (3:690/333.11) forwarded a report of a "Maximus BBS
634.   Optimiser (sic)," going under the filenames MAX-XD and MAXXD20. Scott
635.   Dudley, the author of Maximus, says he did not write any programs that
636.   have these names, but he does not know whether they are or are not
637.   legitimate third party utilities.  I have requested further information
638.   from Andrew on this topic, and would appreciate anyone else's
639.   information, if they have any.
640.  
641.  
642.   Yet another short warning comes from David Bell (1:280/315), posted in
643.   the FidoNet SHAREWRE echo, about a file called PCPLSTD2.  All he says is
644.   that it is a Trojan, and that he got his information from another
645.   "billboard" and is merely passing it on.  Again, please help if you know
646.   what is going on here.
647.  
648.  
649.   Bud Webster (1:264/165.7) reports an Apogee game being distributed under
650.   the filename BLOCK5.ZIP.  He says that the game displayed a message that
651.   said, "This game is not in the public domain or shareware."  There was
652.   only an .EXE file in the archive, and no documentation.  I need to know
653.   what the real name of this game is so that I can include it in the
654.   pirated files section (if necessary).
655.  
656.  
657.   A message in the FidoNet ASIAN_LINK echo from Choon Hwee (1:3603/263)
658.   grabbed my attention the moment I saw it: in capital letters, it said,
659.   "DO NOT RUN this file called MODTEXT.EXE, cause it is a TROJAN!!!".  He
660.   goes on to say that two BBSs have been destroyed by the file.  However,
661.   that's about all that was reported.  I really need more to go on before I
662.   can classify this as a Trojan and not just a false alarm (i.e., archive
663.   name, what it does, etc.).  Please advise.
664.  
665.  
666.   Greg Mills (1:16/390) posted a question to Robert Jung in the ARJ Support
667.   Echo (FidoNet) about a version of ARJ called 2.33.  It was unclear as to
668.   whether or not Mr.  Mills had seen the file.  Mr.  Jung has repeated that
669.   the latest version of ARJ is v2.30 (however, there is a legitimate public
670.   beta version numbered 2.39b).  It is possible that the references Greg
671.   saw about 2.33 were typos, but you never know.  Please help your Hack
672.   Squad out on this one - if you see it, report it.
673.  
674.  
675.   As the last item in this report, your Hack Squad could use some info on
676.   the TUNNEL screen saver.  Ove Lorentzon (2:203/403.6) reports that this
677.   is an internal IBM test program for VGA monitors.  HW Richard Steiner
678.   forwarded a message from Bill Roark (RIME address BOREALIS, Shareware
679.   Conference) that had some quoted text strings from the executable.  One
680.   says, "IBM INTERNAL USE ONLY."
681.  
682.   This file is extremely widespread, however, so I need to hear from
683.   someone who knows what IBM's position on this is.  Has IBM changed its
684.   mind and made it legal to distribute this via BBS?  If you know for
685.   certain, please advise.
686.  
687.   =========================================================================
688.  
689.                            The Meier/Morlan List
690.  
691.   For those of you who missed it last time, here is the list of files that
692.   were forwarded by Joe Morlan (1:125/28), as compiled by Wes Meier, SysOp
693.   of the WCBBS (1-510-937-0156) and author of the AUNTIE BBS system.  Joe
694.   says Wes keeps a bulletin of all rejected files uploaded to him and the
695.   reasons they were rejected.  Joe also says he cannot confirm or deny the
696.   status of any of the files on the list.
697.  
698.   I have included some of the files I can verify from this list in the
699.   Pirated Commercial Files section of this report.  However, there are some
700.   that I am not familiar with or cannot confirm.  These are listed below,
701.   along with the description from Wes Meier's list.
702.  
703.   Due to the unconfirmed nature of the files below, the filenames are not
704.   included in the columnar lists.  I would appreciate any help that
705.   anyone can offer in verifying the status of these files.  Until I receive
706.   some verification on them, I will not count them as either hacks or
707.   pirated files.  Remember - innocent until proven guilty.
708.  
709.   My thanks go to Joe and Wes for their help.
710.  
711.         Filename  Reason for Rejection
712.         ========  =============================================
713.         BARKEEP   Too old, no docs and copyrighted with no copy
714.                   permission.
715.         HARRIER   Copyrighted.  No permission to copy granted.
716.         SLORGAME  Copyrighted.  No docs.  No permission to copy
717.                   granted.
718.         NOVELL    Copyrighted material with no permission to
719.                   BBS distribute
720.         DRUMS     I have no idea if these are legit or not.  No
721.                   docs.
722.         SPACEGOO  STARGOSE in disguise.  Copyrighted.
723.         GREMLINS  No documantation or permission to copy given.
724.         NAVM      Copyrighted.  No permission to copy granted.
725.         TESTCOM   Copyrighted.  No permission to copy granted.
726.         CLOUDKM   A hacked commercial program.
727.         ANTIX     Couldn't make this work.  No docs.
728.         MEGAMAN   Copyrighted.  No docs.  No permission to copy
729.                   granted.
730.         MENACE    Copyrighted.  No docs.  No permission to copy
731.                   granted.
732.         AIRBALL   A hacked commercial program.
733.         WIN_TREK  No documentation.  No permission to copy.
734.         SNOOPY    Copyrighted.  No docs.  No permission to
735.                   copy granted.
736.         SLORDAX   Copyrighted.  No docs.  No permission to
737.                   copy granted.
738.         ESCAPE    Copyrighted.  No docs.  No permission to
739.                   copy granted.
740.         AFOX      A cracked commercial program.
741.         BANNER    Copyrighted.  No docs.  No permission to
742.                   copy granted.
743.         FIXDOS50  Copyrighted.  No permission to copy granted.
744.         WINGIF14  The author's documentation specifically
745.                   requests this file to not be distributed.
746.         INTELCOM  Copyrighted.  No docs.  No permission to
747.                   copy granted.
748.         3DPOOL    Copyrighted.  No docs.  No permission to
749.                   copy granted.
750.         387DX     Copyrighted.  No docs or permission to
751.                   copy granted.
752.         WINDRV    Copyrighted.  No permission to copy granted.
753.  
754.   =========================================================================
755.  
756.                              Acknowledgements
757.  
758.   My thanks go out this time to Tom Lane, SysOp of FLOTOM Enterprises
759.   (FidoNet 1:382/91), and Jim Westbrook, SysOp of JimNet (FidoNet 1:382/29)
760.   for their assistance in forwarding files sent to me through them.  It's a
761.   dangerous business, this, and I appreciate their willingness to help.
762.  
763.   *************************************************************************
764.  
765.                                 Conclusion
766.  
767.   If you see one of these on a board near you, it would be a very friendly
768.   gesture to let the SysOp know.  Remember, they can get in just as much
769.   trouble as the fiend who uploads pirated files, so help them out if you
770.   can.
771.  
772.                           ***HACK SQUAD POLICY***
773.  
774.   The intent of this report is to help SysOps and Users to identify
775.   fraudulent files.  To this extent, I give credit to the reporter of a
776.   confirmed hack.  On this same note, I do _not_ intend to "go after" any
777.   BBS SysOps who have these programs posted for d/l.  The Shareware World
778.   operates best when everyone works together, so it would be
779.   counter-productive to "rat" on anyone who has such a file on their board.
780.   Like I said, my intent is to help, not harm.  SysOps are strongly
781.   encouraged to read this report and remove all files listed within from
782.   their boards.  I can not and will not take any "enforcement action" on
783.   this, but you never know who else may be calling your board.  Pirated
784.   commercial software posted for d/l can get you into _deeply_ serious
785.   trouble with certain authorities.
786.  
787.   Updates of programs listed in this report need verification.  It is
788.   unfortunate that anyone who downloads a file must be paranoid about its
789.   legitimacy.  Call me a crusader, but I'd really like to see the day that
790.   this is no longer true.  Until then, if you _know_ of a new official
791.   version of a program listed here, please help me verify it.
792.  
793.   On the same token, hacks need to be verified, too.  I won't be held
794.   responsible for falsely accusing the real thing of being a fraud.  So,
795.   innocent until proven guilty, but unofficial until verified.
796.  
797.   Upcoming official releases will not be included or announced in this
798.   report.  It is this Co-Moderator's personal opinion that the hype
799.   surrounding a pending release leads to hacks and Trojans, which is
800.   exactly the opposite of what I'm trying to accomplish here.
801.  
802.   If you know of any other programs that are hacks, bogus, jokes, hoaxes,
803.   etc., please let me know.  Thanks for helping to keep shareware clean!
804.  
805. Lee Jackson, Co-Moderator, FidoNet International Echo SHAREWRE (1:382/95)