home *** CD-ROM | disk | FTP | other *** search
/ BBS Toolkit / BBS Toolkit.iso / doors_1 / hack9301.zip / HACK9301.RPT < prev    next >
Text File  |  1993-01-03  |  39KB  |  805 lines

  1.   =========================================================================
  2.                                     ||
  3.   From the files of The Hack Squad: ||  by Lee Jackson, Co-Moderator,
  4.                                     ||  FidoNet International Echo SHAREWRE
  5.           The Hack Report           ||  Volume 2, Number 1
  6.          for January, 1993          ||  Report Date: January 3, 1993
  7.                                     ||
  8.   =========================================================================
  9.  
  10.   Welcome to the first 1993 issue of The Hack Report.  This is a series
  11.   of reports that aim to help all users of files found on BBSs avoid
  12.   fraudulent programs, and is presented as a free public service by the
  13.   FidoNet International Shareware Echo and the author of the report, Lee
  14.   Jackson (FidoNet 1:382/95).
  15.  
  16.   This issue begins a brand new year for us here at Hack Central Station.
  17.   As you will soon note, this report is quite a bit shorter that the last
  18.   1992 issue.  This is due to all previously reported (and confirmed) files
  19.   being removed from the list:  they are still listed in the file
  20.   HACK92FA.RPT, which comes with the archive version of this report.  Only
  21.   unsettled/unconfirmed listings from last year's issues are carried over.
  22.   If you have a copy of the December report, please don't delete it, since
  23.   you'll need it as a reference to previously reported files.
  24.  
  25.   There are quite a few important listings this time around, including a
  26.   clarification of a file that has caused quite a bit of work for your Hack
  27.   Squad.  Thanks to everyone who has helped put this report together, and
  28.   to those that have sent in comments and suggestions.
  29.  
  30.   NOTE TO SYSOPS: The Hack Report may be freely posted as a bulletin on
  31.   your BBS, subject to these conditions:
  32.  
  33.              1) the latest version is used,
  34.              2) it is posted in its entirety, and
  35.              3) it is not altered in any way.
  36.  
  37.   NOTE TO OTHER READERS: The Hack Report (file version) may be freely
  38.   uploaded to any BBS, subject to the above conditions, and only if you do
  39.   not change the filename.  You may convert the archive type as you wish,
  40.   but please leave the filename in its original HACK????.* format.  The
  41.   Hack Report may also be cross-posted in other networks (with the
  42.   permission of the other network) as long as it meets the above conditions
  43.   and you give appropriate credit to the FidoNet International Shareware
  44.   Echo (and the author <g>).
  45.  
  46.   The idea is to make this information available freely.  However, please
  47.   don't cut out the disclaimers and other information if you use it, or
  48.   confuse the issue by spreading the file under different names.  Thanks!
  49.  
  50.   DISCLAIMER: The listings of Official Versions are not a guarantee of the
  51.   files' safety or fitness for use.  Someone out there might just be
  52.   sick-minded enough to upload a Trojan with an "official" file name, so
  53.   >scan everything you download<!!!  The author of this report will not be
  54.   responsible for any damage to any system caused by the programs listed as
  55.   Official Versions, or by anything using the name of an Official Version.
  56.  
  57.   *************************************************************************
  58.  
  59.                     Much Ado about Telix - an Editorial
  60.  
  61.   Before we begin this month's carnage and mayhem, please allow me to clear
  62.   up a question that has just about resulted in the total weardown of your
  63.   Hack Squad's keyboard.
  64.  
  65.   When the December issue of The Hack Report was written, the latest
  66.   official release of Telix was version 3.15, which still carried the Exis
  67.   trademark.  At that time, the new owners of Telix, deltaComm, were in the
  68.   process of beta testing a shareware upgrade to their program.  Since it
  69.   is the official policy of this report not to advertise upcoming releases,
  70.   and since the version number was not known to this reporter, the pending
  71.   upgrade was not mentioned in the report.
  72.  
  73.   Within a week after the December issue came out, deltaComm released their
  74.   upgrade.  They chose 3.20 as the new version number, which is (of course)
  75.   their legal right.  Unfortunately, this happened to coincide with a
  76.   previously reported hacked version number, which was listed in the
  77.   December issue.
  78.  
  79.   Of course, the result of this was that there were many questions sent to
  80.   Hack Central Station, all asking for confirmation of this new Telix that
  81.   had been uploaded to the questioners' BBS systems, or seen on the
  82.   questioners' favorite boards.  The response to all questions was the
  83.   same:  the new version is legitimate, as long as it has deltaComm's logo
  84.   and a release date of either December 10th or December 14th, 1992.
  85.  
  86.   This incident is entirely my fault:  it is my responsibility, as author
  87.   of The Hack Report, to stay up to date on the latest official versions of
  88.   files listed in this report.  I apologize for the inconvenience and
  89.   uncertainty that this has caused, and I hope that all of you, as readers
  90.   of this report, can forgive the oversight of a tired (and slightly
  91.   underpaid <g>) reporter.
  92.  
  93.   =========================================================================
  94.  
  95.                               Hacked Programs
  96.  
  97.   Here are the latest versions of some programs known to have hacked copies
  98.   floating around.  Archive names are listed when known, along with the
  99.   person who reported the fraud (thanks from us all!).
  100.  
  101.    Program              Hack(s)            Latest Official Version
  102.    -------              -------            -----------------------
  103.    BNU FOSSIL Driver    BNU202                     BNU170
  104.       Reported By: Amauty Lambrecht (2:291/712)    (not counting betas)
  105. |                       BNU188B
  106. |     Reported By: David Nugent (3:632/348),
  107.                     Author of BNU
  108.  
  109. |  F-Prot Virus Scanner FP-205B                    FP-206B
  110. |     Reported By: Bill Lambdin (1:343/45)
  111.  
  112.    PKLite               PKLTE201                   PKL115
  113. |     Reported By: Wen-Chung Wu (1:102/342)
  114.  
  115.    PKZip                PKZ301                     PKZIP110
  116. |     Reported By: Mark Dudley (1:3612/601)
  117. |                  Jon Grimes (1:104/332)
  118.  
  119.  
  120. |  Shez                 SHEZ72A                    SHEZ83
  121.                         SHEZ73
  122.       Reported By: Bill Lambdin (1:343/45)
  123.  
  124.  
  125. |  Telix                Telix v3.20                TLX320-1
  126. |                        (Prior to Dec. 1992)      TLX320-2
  127. |                       Telix v3.25                TLX320-3
  128. |     Reported By: Brian C. Blad (1:114/107)       TLX320-4
  129.                    Peter Kirn (WildNet, via
  130.                                  Ken Whiton)
  131.                         Telix v4.00
  132.                         Telix v4.15
  133.       Reported By: Barry Bryan (1:370/70)
  134.                         Telix v4.25
  135.       Reported By: Daniel Zuck (2:247/30, via Chris
  136.                     Lueders (2:241/5306.1)
  137.                         MegaTelix
  138.       Verified By Jeff Woods, deltaComm, Inc.
  139. |       Please Note - the 3.20 release dated either December 10th
  140. |       or December 14th, 1992, is legitimate:  any earlier file
  141. |       calling itself v3.20 and carrying an Exis, Inc. trademark
  142. |       is not legitimate.  Please thoroughly check your version
  143. |       prior to sending questions to this reporter! <g>
  144.                         Telix Pro
  145.      Reported By: Jason Engebretson (1:114/36),
  146.                    in the FidoNet TELIX echo
  147.  
  148.   =========================================================================
  149.  
  150.                                 Hoax Alert:
  151.  
  152. | HW Mikael Winterkvist received a program from Kai Sundren (2:201/150)
  153. | called RAOPT.  This file, which claims to "optimize" your RemoteAccess
  154. | BBS files, appears to do nothing except read your USERS.BBS file and
  155. | report how many users it has read.  The program itself says it should be
  156. | run twice.  I don't know if Mikael did this, but I hope he didn't.
  157. |
  158. | The program contains a copyright for Continental Software and a version
  159. | number of 1.11.  It also asks for registration.
  160. |
  161. | Mikael asked the author of RemoteAccess, Andrew Milner, whether or not
  162. | the program was legitimate.  Andrew's response was a resounding No.  So,
  163. | even though the file doesn't appear to do anything destructive, your Hack
  164. | Squad advises you to delete it if you see it.
  165.  
  166.  
  167. | Last year, a warning about a virus called PROTO-T was widely circulated.
  168. | The message warned that the virus had the ability to hide in the RAM of
  169. | VGA cards, hard disks, and "possibly, in modem buffers." It went on to
  170. | warn that the virus was placed in two files:  one called "TEMPLE," and in
  171. | a hack of PKZip, version "3.x".
  172. |
  173. | Your Hack Squad managed to obtain a copy of the hack of PKZip, PKZ305,
  174. | and sent it to Bill Logan and Jeff White of the Pueblo Group for testing.
  175. | Here, now, is the result of their efforts:
  176. |
  177. | Report for possible hack file PKZ305
  178. |
  179. |   Filename: PKZ305.EXE
  180. |   Filesize: 110187
  181. |   Filedate: 9-10-92
  182. |   Filetime: 5:25p
  183. |
  184. |   =====================================================================
  185. |
  186. |   Contents of PKZ305.EXE:
  187. |
  188. |   PKSFX (R)   FAST!   Self Extract Utility   Version 1.1   03-15-90
  189. |   Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKSFX/h for help
  190. |   PKSFZ Reg. U.S. Pat. and Tm. Off.
  191. |
  192. |   Searching EXE: C:/VIRUS/PKZ305.EXE
  193. |     Exploding: WHATSNEW.305  -AV
  194. |     Exploding: OMBUDSMN.ASP  -AV
  195. |     Exploding: ADDENDUM.DOC  -AV
  196. |     Exploding: BENCH.DOC     -AV
  197. |     Exploding: DEDICATE.DOC  -AV
  198. |     Exploding: LICENSE.DOC   -AV
  199. |     Exploding: MANUAL.DOC    -AV
  200. |     Exploding: ORDER.DOC     -AV
  201. |     Exploding: README.DOC    -AV
  202. |     Exploding: PKUNZIP.EXE   -AV
  203. |     Exploding: PKZIP.EXE     -AV
  204. |     Exploding: AUTHVERI.FRM  -AV
  205. |     Exploding: APPNOTE.TXT   -AV
  206. |
  207. |   Authentic files Verified!   # GPI257   PKWARE Inc.
  208. |   Thank you for using PKWARE!  PKWARE Support BBS (414) 352-7176
  209. |   If The -AV Code Is Not GPI257, Then You Have Downloaded A Hack Version
  210. |   ======================================================================
  211. |
  212. |   CRC Results:
  213. |
  214. |   Searching ZIP: PKZ305.EXE
  215. |
  216. |    Length  Size  Ratio   Date    Time    CRC-32  Attr  Name
  217. |    ======  ===== =====   ====    ====   ======== ====  ====
  218. |      1094    727  34%  09-10-92  17:25  75959145 --w-  WHATSNEW.305
  219. |       595    442  26%  09-10-92  17:25  167904ac --w-  OMBUDSMN.ASP
  220. |      5487   2039  63%  09-10-92  17:25  af094473 --w-  ADDENDUM.DOC
  221. |       908    621  32%  09-10-92  17:25  e0ed85ab --w-  BENCH.DOC
  222. |       720    434  40%  09-10-92  17:25  253e799b --w-  DEDICATE.DOC
  223. |      9366   3228  66%  09-10-92  17:25  c917b5c2 --w-  LICENSE.DOC
  224. |    140642  34426  76%  09-10-92  17:25  4e0e8078 --w-  MANUAL.DOC
  225. |      4701   1464  69%  09-10-92  17:25  6e20e127 --w-  ORDER.DOC
  226. |       801    526  35%  09-10-92  17:25  191b5ddf --w-  README.DOC
  227. |     27908  18815  33%  09-10-92  17:25  b86b40de --w-  PKUNZIP.EXE
  228. |     35934  23943  34%  09-10-92  17:25  bcac5c03 --w-  PKZIP.EXE
  229. |      1748    866  51%  09-10-92  17:25  fc23095e --w-  AUTHVERI.FRM
  230. |     25811   8390  68%  09-10-92  17:25  4f35b70d --w-  APPNOTE.TXT
  231. |    ====== ======  ===                                  =======
  232. |    255715  95921  63%                                       13
  233. |
  234. |   ======================================================================
  235. |
  236. |   Results of ViruScan:
  237. |
  238. |   SCAN /NOMEM *.EXE
  239. |
  240. |   SCAN 8.9B97 Copyright 1989-92 by McAfee Associates.  (408) 988-3832
  241. |   Scanning for known viruses.
  242. |
  243. |   Directory C:. contains 3 files.
  244. |
  245. |    No viruses found
  246. |
  247. |   SCAN 8.9B97 Copyright 1989-92 by McAfee Associates.  (408) 988-3832
  248. |
  249. |   =====================================================================
  250. |
  251. |   Compression test of PKZ305:
  252. |
  253. |   Compression of PKZ305 was comparable to PKZ193A
  254. |
  255. |   =====================================================================
  256. |
  257. |   Memory report:
  258. |
  259. |   The test machine had 655360 bytes total memory
  260. |
  261. |   Available memory remained at 583312 bytes free before and after
  262. |   testing
  263. |
  264. |   =====================================================================
  265. |
  266. |   File activity:
  267. |
  268. |   Using DISKMON, the only files PKZ305 affected were the test
  269. |   compression files (i.e., the ZIP file ZIPed and UNZIPed)
  270. |
  271. |   =====================================================================
  272. |
  273. |   Trojan activity:
  274. |
  275. |   None
  276. |
  277. |   =====================================================================
  278. |
  279. |   Virus activity:
  280. |
  281. |   VSHIELD loaded prior to testing, with no virus activity reported.
  282. |   Complete scan of drive after test showed nothing.
  283. |
  284. |   =====================================================================
  285. |
  286. | So, this would seem to confirm earlier findings by Bill Lambdin that the
  287. | hack of PKZip was nothing more than a hack.  Please note, however, that
  288. | human nature has reigned supreme here - there are apparently 3 different
  289. | viruses in circulation calling themselves Proto-T now.  None exhibit the
  290. | behaviour described in the hoax warning, though.
  291.  
  292.   =========================================================================
  293.  
  294.                               The Trojan Wars
  295.  
  296.   The Trojan writers seem to have had a problem with RemoteAccess BBS
  297.   systems last month, since several of the reported files were aimed at RA
  298.   users.  To see what happened, read on.
  299.  
  300.  
  301. | Frans Hagelaars (2:512/2) posted a message in several echos last month
  302. | concerning a Trojan version of the Blue Wave Offline Mail Reader that had
  303. | been circulating in his area.  According to the warning, the "hacked"
  304. | version attacks your hard drive boot sector and partition table, and will
  305. | then "play tricks" with RemoteAccess userlists and phone numbers.
  306. |
  307. | The filename of this version was not given in the report, nor was it made
  308. | clear whether the BBS door or the Reader was involved.  If you have any
  309. | questions about the security of your copy, remember that you can always
  310. | obtain a safe copy from the BBS of the author, George Hatchew, at FidoNet
  311. | address 1:2240/176, phone number 1-313-743-8464, or from any of the
  312. | official distribution sites (which I believe are listed in the
  313. | documentation for the program).
  314.  
  315.  
  316. | Sylvain Simard sent a file to Hack Central Station called RAFIX.  The
  317. | documentation of the file claims to fix "little bugs" in RemoteAccess BBS
  318. | systems.  I looked inside the file with a hex editor and found the string
  319. | "COMMAND /C FORMAT C:".  It would appear that the program intends to do
  320. | more than fix your BBS.
  321.  
  322.  
  323. | Michael Toth (1:115/220) forwards a report from David Gibbs, posted in
  324. | his local Net115 SysOps Forum, concerning a file called ROLEX.  The copy
  325. | which David obtained contained the Keypress [Key] virus, according to
  326. | McAfee's ViruScan.  Probably an isolated incident, but be aware that such
  327. | a file exists.
  328.  
  329.  
  330. | Bill Dirks (1:385/17) has confirmed the sighting of the VGA BBS Ad Trojan
  331. | reported by Stephen Furness (1:163/273).  Stephen saw the file under the
  332. | name RUNME.  Bill reports it under the name ANSISCR, but containing the
  333. | files RUNME.BAT, LOAD1.ANS, VGAC1.DAT, and VGAPAK.EXE.
  334. |
  335. | The batch file types out the LOAD1.ANS file, which contains a bit of
  336. | profanity, and then renames VGAC1.DAT to VGAC1.BAT and runs it.  This
  337. | apparently invokes VGAPAK.EXE, which is a self-extracting archive that
  338. | contains the Yankee Doodle and AntiChrist viruses, among other things.
  339. | It then does quite a few other surprises, eventually winding up by
  340. | trashing your hard drive, a possibly non-functional keyboard, and a
  341. | couple of viruses on your system.
  342. |
  343. | This is a very elaborate Trojan, in that most of the activity can't be
  344. | detected until you reboot your system and see its results.  As Bill
  345. | rightly says, "this isn't a very nice little program...."
  346.  
  347.  
  348. | Another report from Bill Dirks involves an ANSI bomb called MUVBACK.  The
  349. | file is described as a keyboard utility "similar to Doskey."  The bomb
  350. | reprograms the D key of your keyboard to invoke DEBUG.  It feeds a script
  351. | file to DEBUG which creates two short .com files:  due to a bug in the
  352. | script, only one of them, EAT-ME.COM, actually works.  This new program
  353. | overwrites the first 500 sectors of your hard drive.  If you press the
  354. | spacebar instead of the D key, your system locks due to the bug in the
  355. | script.  Bill also says the file contains a text file called ALAMER.TXT,
  356. | written in German.  Quite ingenious, and also quite nasty.
  357.  
  358.  
  359. | Rich Veraa (1:135/907) forwards a report by Victor Padron (1:3609/14) of
  360. | yet another ANSI bomb, called REAPER.ANS.  The file, when typed at the
  361. | DOS prompt (an if an ANSI driver which allows key redefinition is
  362. | installed), turns your keyboard into an insult generator, attempts to
  363. | format your hard drive by invoking the FORMAT program, and deletes files.
  364. | In Victor's case, it deleted the files in his BBS directory.
  365. |
  366. | ANSI bombs are quite nasty when they have access to an ANSI driver, such
  367. | as ANSI.SYS (supplied with most DOS releases), which allows the user to
  368. | redefine their keyboard.  The bomb will take advantage of this and cause
  369. | common keystrokes to be remapped to destructive commands.
  370. |
  371. | They can be thwarted in most cases by using an ANSI driver which either
  372. | does not allow key redefinition, or which allows this feature to be
  373. | disabled by the user.  ZANSI, NANSI.SYS, NNANSI.COM, and ANSIPlus are a
  374. | few such drivers which your Hack Squad is aware of.  Also available is a
  375. | driver called PKSFANSI, from PKWare, which works in tandem with any ANSI
  376. | driver and traps out attempts to remap your keyboard.
  377.  
  378.  
  379. | HW Nemrod Kedem received a file from a user called SPEED, which was
  380. | described as a program to "check your PC speed."  Here's the file info:
  381. |
  382. |    FileName       Size       Date       Time    Attr    CRC-32
  383. |   =========      ======   ===========  ======   ====   ========
  384. |   SPEED.EXE        3134   23-Dec-1992   18:30   ...A   1E0AA3D7
  385. |
  386. | This program displayed the following on the screen when run:
  387. |
  388. |   Please wait while SystemDisk is checking for directories in disk...
  389. |
  390. |   @ECHO.
  391. |
  392. | ...and then proceeded to delete all files on drive C:, including
  393. | directories.  Avoid this if you see it.
  394.  
  395.  
  396. | Mike Wenthold (1:271/47) sent in a couple of reports.  The first involves
  397. | a file called REDFOX, which is batch file that deletes all DOS and system
  398. | files.  The second involves LOGIM613, which appears to be some sort of
  399. | mouse driver package (I can't verify if it is a Logitech driver, even if
  400. | the archive has LOGI as part of its name).  This probable isolated
  401. | incident contains a file, MOUSE.COM, dated May 22, 1992, and 40681 bytes
  402. | in size, which is infected with the VCL virus (according to McAfee's
  403. | ViruScan v95).
  404.  
  405.   =========================================================================
  406.  
  407.                         Pirated Commercial Software
  408.  
  409.   Program                 Archive Name(s)     Reported By
  410.   -------                 ---------------     -----------
  411. | Psion Chess             3D-CHESS            Matt Farrenkopf (1:105/376)
  412.  
  413. | Battle Chess            CHESS               Ron Mahan (1:123/61)
  414.  
  415. | Commander Keen          _1KEEN5             Scott Wunsch (1:140/23.1701)
  416. |  (part 5)
  417.  
  418. | Darkside (game)         DARKSIDE            Ralph Busch (1:153/9)
  419.  
  420. | F-Prot Professional     FP206SF             Mikko Hypponen
  421. |                                              (mikko.hypponen@compart.fi)
  422.  
  423. | Over the Net            OTNINC1             Tim Sitzler (1:206/2708)
  424. |  (volleyball game)
  425.  
  426. | Rack 'Em (game)         RACKEM              Ruth Lee (1:106/5352)
  427.  
  428. | SimCity (by Maxis)      SIMCTYSW            Scott Wunsch
  429.  
  430.   =========================================================================
  431.  
  432.                       ?????Questionable Programs?????
  433.  
  434. | First, a quick note - this section, along with the Information, Please
  435. | section, are the only ones that have any information carried over from
  436. | the 1992 report.  This is because many of the listings in these sections
  437. | were not completely resolved when the last 1992 issue was published.  As
  438. | usual, if anyone has any additional information on anything listed in
  439. | these sections, _please_ help!
  440.  
  441.  
  442. | HW Ken Whiton forwards messages from Harold Stein, Gary Rambo, and Gwen
  443. | Barnes of Mustang Software, Inc., about a "patch" program aimed at
  444. | OffLine Xpress (OLX) v1.0.  The patch is supposed to allow OLX to
  445. | read and reply to Blue Wave packets, along with a lot of other seemingly
  446. | unbelievable feats.  Gwen Barnes did not seem to know of the patch, but
  447. | published the following advice in the WildNet SLMROLX conference to
  448. | anyone considering trying it:
  449. |
  450. |   1. Make a complete backup of your system.
  451. |   2. Make sure you've got all the latest SCAN stuff from McAfee
  452. |   3. Try it, keeping in mind that it more than likely does nothing
  453. |      at all, or is a trojan that will hose your system.
  454. |   4. Get ready to re-format and restore from backups if this is in
  455. |      fact the case.
  456. |
  457. | No filename was given for this patch.  If anyone runs across a copy of
  458. | it, please contact one of The HackWatchers or myself so that we can
  459. | forward a copy to MSI for testing.
  460.  
  461.  
  462. | Another message forwarded to Ken by Harold, this time from Brent Lynch in
  463. | the WildNet GAMES Conference, concerns a game under the filename SF2BETA.
  464. | I believe Brent is referring to the game Stick Fighter II (or Street
  465. | Fighter II), which has received considerable discussion in the FidoNet
  466. | PDREVIEW and SHAREWRE echos.
  467. |
  468. | Brent implies that the game is by a company called Capcom, and says that
  469. | while the game is in Vietnamese (some have described the language as
  470. | either Chinese or Korean - no way to tell, since I haven't seen a copy),
  471. | the setup for the game is in English.
  472. |
  473. | Some folks have guessed that some of the screens of this game were
  474. | "captured" from a Nintendo or other game cartridge using a device called
  475. | either a Genlock or a Super Magicom (I think).  While this might be legal
  476. | for home use, it may well be illegal to distribute a file created in this
  477. | manner.
  478. |
  479. | If someone can shed some light on this situation, please do so - it's
  480. | starting to become very confusing.
  481.  
  482.  
  483. | Bill Lambdin (1:343/45) reports that someone has taken all of McAfee
  484. | Associates' antiviral programs and combined them into one gigantic (over
  485. | 700k) archive.  He did not say whether the files had been tampered with,
  486. | but he did send a copy to McAfee for them to dissect.  The file was
  487. | posted under the filename MCAFEE99.  I would not suggest downloading this
  488. | file:  as a matter of fact, this reporter prefers to call McAfee's BBS
  489. | directly when a new version of any of their utilities comes out.  I
  490. | highly recommend this method, since it insures that you will receive an
  491. | official copy.
  492.  
  493.  
  494.   HW Matt Kracht forwarded a message from Stu Turk in the DR_DEBUG
  495.   echo about possible Trojans going around as PKZIP 2.21 and/or 2.22.  Stu
  496.   also says that there is a warning about these in circulation.  If you
  497.   have a copy of this warning, please send a copy to Hack Central Station
  498.   (1:382/95).
  499.  
  500.  
  501.   =========================================================================
  502.  
  503.                             Information, Please
  504.  
  505.   This the section of The Hack Report, where your Hack Squad asks for
  506.   _your_ help.  Several reports come in every week, and there aren't enough
  507.   hours in the day (or fingers for the keyboards) to verify them all.  Only
  508.   with help from all of you can The Hack Report stay on top of all of the
  509.   weirdness going on out there in BBSLand.  So, if you have any leads on
  510.   any of the files shown below, please send it in: operators are standing
  511.   by.
  512.  
  513.  
  514. | Onno Tesink (2:283/318) has sighted a file called LHA255B.  This claims
  515. | to be version 2.55b of the LHA archiver, with a file date in the
  516. | executable of 12/08/92.  He compared the file to the latest known
  517. | official release, v2.13, and found two additional program options which
  518. | were mentioned when the program was invoked with no command line
  519. | (generating a help screen).  The archive contained nothing but the
  520. | executable file.  Viral scans were negative.
  521. |
  522. | I have not heard of any further development going on by the author of
  523. | LHA, H. Yoshi, but that wouldn't be a first. <g>  If anyone knows of a
  524. | new version of LHA, please contact your nearest HackWatcher and lend a
  525. | hand.
  526.  
  527.  
  528. | Travis Griggs (1:3807/4.25) forwarded a report from a local board called
  529. | The Forum (phone number 1-318-528-2107) by a user named Susan Pilgreen.
  530. | The message referred to a file called BOUNCE, which she said was infected
  531. | with the Russian Mirror virus.  The file, according to Travis, claimed to
  532. | be a game.  I would appreciate further confirmation of this sighting.
  533.  
  534.  
  535. | Brian Keahl (1:133/524) stated in the VIRUS_INFO echo that a program
  536. | called PC-Mix (no archive name given) is a commercial program that is
  537. | being erroneously distributed as shareware.  HW Richard Steiner was
  538. | contacted by Bill Ziegler (1:121/34), who says his copy appears to be the
  539. | commercial program, but with a crippled manual to encourage registration.
  540. | I think this is sufficient to resolve this situation.
  541.  
  542.  
  543. | An update on a warning from Mark Stansfield (1:115/404), concerning
  544. | the files KILL and PROTECT.  He claims that these delete the user's hard
  545. | drive when run.  Dan Onstott (1:100/470) reported in the FidoNet SHAREWRE
  546. | echo that he has a small utility called PROTECT.COM (205 bytes, dated
  547. | 12-10-86), which is a write-protect utility for your hard drive.  He says
  548. | he has never had a problem with it.  So, Mark's report may be an isolated
  549. | incident.  If anyone else sees the files Mark mentioned, please advise.
  550.  
  551.  
  552.   Bill Lambdin forwards a message from Mario Giordani in the ILink Virus
  553.   Conference about two files.  The archives, called PHOTON and NUKE, are
  554.   possibly droppers, containing a file called NUKE.COM which "will trash
  555.   your HD."
  556.  
  557. | Pat Finnerty (1:3627/107) sent a reply to the last report of this,
  558. | stating that he has a copy of a PC Magazine utility called NUKE.COM,
  559. | which is used to remove subdirectories which contain "nested subs,
  560. | hidden, read-only (you name it)."  He says that the command NUKE C:\ will
  561. | effectively delete everything on a hard drive, with no chance of repair.
  562. | This is merely the way the program is designed.
  563.  
  564.   I do not know if this is what happened in Mario's case, or if Mario
  565.   actually found a copy (read: isolated incident) which was infected. Bill
  566.   has asked Mario for further information, and I would like to echo his
  567.   call for help.  If you know of this, please lend a hand.
  568.  
  569.  
  570.   Another one forwarded by Bill comes from Michael Santos in the Intelec
  571.   Net Chat conference, concerning a screen saver named IM.  This is only a
  572.   "hearsay" report from one of Michael's friends, who says he downloaded it
  573.   and wound up with a virus.  There is no way to tell if the infection came
  574.   from the file itself or if it was already present on his friend's system.
  575.   Once again, if anyone can clear this up, please do so.
  576.  
  577.  
  578.   Ned Allison (1:203/1102) forwarded a report into the FidoNet DIRTY_DOZEN
  579.   echo from a user of The Mailbox BBS in Cleveland (216/671-7534) named
  580.   Rich Bongiovanni.  Rich reports that there is a file floating around
  581.   called DEMON WARS (archive name DMNWAR52) that is "infected with a
  582.   virus."  If true, this may be an isolated incident.  I would appreciate
  583.   confirmation on this.
  584.  
  585.  
  586.   Greg Walters (1:270/612) reports a possible isolated incident of a
  587.   problem with #1KEEN7.  When he ran the installation, he began seeing on
  588.   his monitor "what looked like an X-rated GIF."  The file apparently
  589.   scanned clean.  Any information on similar sightings would be
  590.   appreciated.
  591.  
  592.  
  593.   A report from Todd Clayton (1:259/210) concerns a program called
  594.   ROBO.EXE, which he says claims to apparently "make RoboBoard run 300%
  595.   faster."  He says he has heard that the program fools around with your
  596.   File Allocation Table.  I have not heard any other reports of this, so I
  597.   would appreciate some confirmation from someone else who has seen similar
  598.   reports.
  599.  
  600.  
  601.   Kelvin Lawson (2:258/71) posted a message in the SHAREWRE echo about a
  602.   possible hack of FEBBS called F192HACK.  I have not seen this file, nor
  603.   has the author of FEBBS, Patrik Sjoberg (2:205/208).  He forwards the
  604.   file sizes in the archive, reported here:
  605.  
  606.         Name          Length      Mod Date  Time     CRC
  607.         ============  ========    ========= ======== ========
  608.         FEBBS.EXE       220841    09 Mar 92 21:17:00 96D2E08D
  609.         014734.TXT        1403    26 Aug 92 01:59:18 3B9F717F
  610.         ============  ========    ========= ======== ========
  611.         *total     2    222244    26 Aug 92 01:59:24
  612.  
  613.   Kelvin says the .TXT file is just an advert for a BBS, so it is "not
  614.   relevant!".  As I said, the author of FEBBS has never seen this file, so
  615.   I've asked Kelvin to forward a copy of it to him.
  616.  
  617.  
  618.   Mark Draconis (1:120/324) has found a file called TELE214R, claiming to
  619.   be the latest version of Teledisk.  He asked for verification in the
  620.   FidoNet SHAREWRE echo of its status.  On this same line, Kelvin Lawson
  621.   reports TELE215R.  Steve Quarrella (1:311/405) believes that the program
  622.   has gone commercial, perhaps after version 2.12 or 2.13.  Your Hack Squad
  623.   has no idea, and has not yet had a chance to call Sydex by voice.  Please
  624.   help.
  625.  
  626.  
  627. | Your Hack Squad has seen several references to a release of Scorched
  628. | Earth calling itself v2.0 (SCORCH20).  The latest official version I am
  629. | aware of is v1.21.  If someone can verify the latest release number,
  630. | please do so.
  631.  
  632.  
  633.   Andrew Owens (3:690/333.11) forwarded a report of a "Maximus BBS
  634.   Optimiser (sic)," going under the filenames MAX-XD and MAXXD20. Scott
  635.   Dudley, the author of Maximus, says he did not write any programs that
  636.   have these names, but he does not know whether they are or are not
  637.   legitimate third party utilities.  I have requested further information
  638.   from Andrew on this topic, and would appreciate anyone else's
  639.   information, if they have any.
  640.  
  641.  
  642.   Yet another short warning comes from David Bell (1:280/315), posted in
  643.   the FidoNet SHAREWRE echo, about a file called PCPLSTD2.  All he says is
  644.   that it is a Trojan, and that he got his information from another
  645.   "billboard" and is merely passing it on.  Again, please help if you know
  646.   what is going on here.
  647.  
  648.  
  649.   Bud Webster (1:264/165.7) reports an Apogee game being distributed under
  650.   the filename BLOCK5.ZIP.  He says that the game displayed a message that
  651.   said, "This game is not in the public domain or shareware."  There was
  652.   only an .EXE file in the archive, and no documentation.  I need to know
  653.   what the real name of this game is so that I can include it in the
  654.   pirated files section (if necessary).
  655.  
  656.  
  657.   A message in the FidoNet ASIAN_LINK echo from Choon Hwee (1:3603/263)
  658.   grabbed my attention the moment I saw it: in capital letters, it said,
  659.   "DO NOT RUN this file called MODTEXT.EXE, cause it is a TROJAN!!!".  He
  660.   goes on to say that two BBSs have been destroyed by the file.  However,
  661.   that's about all that was reported.  I really need more to go on before I
  662.   can classify this as a Trojan and not just a false alarm (i.e., archive
  663.   name, what it does, etc.).  Please advise.
  664.  
  665.  
  666.   Greg Mills (1:16/390) posted a question to Robert Jung in the ARJ Support
  667.   Echo (FidoNet) about a version of ARJ called 2.33.  It was unclear as to
  668.   whether or not Mr.  Mills had seen the file.  Mr.  Jung has repeated that
  669.   the latest version of ARJ is v2.30 (however, there is a legitimate public
  670.   beta version numbered 2.39b).  It is possible that the references Greg
  671.   saw about 2.33 were typos, but you never know.  Please help your Hack
  672.   Squad out on this one - if you see it, report it.
  673.  
  674.  
  675.   As the last item in this report, your Hack Squad could use some info on
  676.   the TUNNEL screen saver.  Ove Lorentzon (2:203/403.6) reports that this
  677.   is an internal IBM test program for VGA monitors.  HW Richard Steiner
  678.   forwarded a message from Bill Roark (RIME address BOREALIS, Shareware
  679.   Conference) that had some quoted text strings from the executable.  One
  680.   says, "IBM INTERNAL USE ONLY."
  681.  
  682.   This file is extremely widespread, however, so I need to hear from
  683.   someone who knows what IBM's position on this is.  Has IBM changed its
  684.   mind and made it legal to distribute this via BBS?  If you know for
  685.   certain, please advise.
  686.  
  687.   =========================================================================
  688.  
  689.                            The Meier/Morlan List
  690.  
  691.   For those of you who missed it last time, here is the list of files that
  692.   were forwarded by Joe Morlan (1:125/28), as compiled by Wes Meier, SysOp
  693.   of the WCBBS (1-510-937-0156) and author of the AUNTIE BBS system.  Joe
  694.   says Wes keeps a bulletin of all rejected files uploaded to him and the
  695.   reasons they were rejected.  Joe also says he cannot confirm or deny the
  696.   status of any of the files on the list.
  697.  
  698.   I have included some of the files I can verify from this list in the
  699.   Pirated Commercial Files section of this report.  However, there are some
  700.   that I am not familiar with or cannot confirm.  These are listed below,
  701.   along with the description from Wes Meier's list.
  702.  
  703.   Due to the unconfirmed nature of the files below, the filenames are not
  704.   included in the columnar lists.  I would appreciate any help that
  705.   anyone can offer in verifying the status of these files.  Until I receive
  706.   some verification on them, I will not count them as either hacks or
  707.   pirated files.  Remember - innocent until proven guilty.
  708.  
  709.   My thanks go to Joe and Wes for their help.
  710.  
  711.         Filename  Reason for Rejection
  712.         ========  =============================================
  713.         BARKEEP   Too old, no docs and copyrighted with no copy
  714.                   permission.
  715.         HARRIER   Copyrighted.  No permission to copy granted.
  716.         SLORGAME  Copyrighted.  No docs.  No permission to copy
  717.                   granted.
  718.         NOVELL    Copyrighted material with no permission to
  719.                   BBS distribute
  720.         DRUMS     I have no idea if these are legit or not.  No
  721.                   docs.
  722.         SPACEGOO  STARGOSE in disguise.  Copyrighted.
  723.         GREMLINS  No documantation or permission to copy given.
  724.         NAVM      Copyrighted.  No permission to copy granted.
  725.         TESTCOM   Copyrighted.  No permission to copy granted.
  726.         CLOUDKM   A hacked commercial program.
  727.         ANTIX     Couldn't make this work.  No docs.
  728.         MEGAMAN   Copyrighted.  No docs.  No permission to copy
  729.                   granted.
  730.         MENACE    Copyrighted.  No docs.  No permission to copy
  731.                   granted.
  732.         AIRBALL   A hacked commercial program.
  733.         WIN_TREK  No documentation.  No permission to copy.
  734.         SNOOPY    Copyrighted.  No docs.  No permission to
  735.                   copy granted.
  736.         SLORDAX   Copyrighted.  No docs.  No permission to
  737.                   copy granted.
  738.         ESCAPE    Copyrighted.  No docs.  No permission to
  739.                   copy granted.
  740.         AFOX      A cracked commercial program.
  741.         BANNER    Copyrighted.  No docs.  No permission to
  742.                   copy granted.
  743.         FIXDOS50  Copyrighted.  No permission to copy granted.
  744.         WINGIF14  The author's documentation specifically
  745.                   requests this file to not be distributed.
  746.         INTELCOM  Copyrighted.  No docs.  No permission to
  747.                   copy granted.
  748.         3DPOOL    Copyrighted.  No docs.  No permission to
  749.                   copy granted.
  750.         387DX     Copyrighted.  No docs or permission to
  751.                   copy granted.
  752.         WINDRV    Copyrighted.  No permission to copy granted.
  753.  
  754.   =========================================================================
  755.  
  756.                              Acknowledgements
  757.  
  758.   My thanks go out this time to Tom Lane, SysOp of FLOTOM Enterprises
  759.   (FidoNet 1:382/91), and Jim Westbrook, SysOp of JimNet (FidoNet 1:382/29)
  760.   for their assistance in forwarding files sent to me through them.  It's a
  761.   dangerous business, this, and I appreciate their willingness to help.
  762.  
  763.   *************************************************************************
  764.  
  765.                                 Conclusion
  766.  
  767.   If you see one of these on a board near you, it would be a very friendly
  768.   gesture to let the SysOp know.  Remember, they can get in just as much
  769.   trouble as the fiend who uploads pirated files, so help them out if you
  770.   can.
  771.  
  772.                           ***HACK SQUAD POLICY***
  773.  
  774.   The intent of this report is to help SysOps and Users to identify
  775.   fraudulent files.  To this extent, I give credit to the reporter of a
  776.   confirmed hack.  On this same note, I do _not_ intend to "go after" any
  777.   BBS SysOps who have these programs posted for d/l.  The Shareware World
  778.   operates best when everyone works together, so it would be
  779.   counter-productive to "rat" on anyone who has such a file on their board.
  780.   Like I said, my intent is to help, not harm.  SysOps are strongly
  781.   encouraged to read this report and remove all files listed within from
  782.   their boards.  I can not and will not take any "enforcement action" on
  783.   this, but you never know who else may be calling your board.  Pirated
  784.   commercial software posted for d/l can get you into _deeply_ serious
  785.   trouble with certain authorities.
  786.  
  787.   Updates of programs listed in this report need verification.  It is
  788.   unfortunate that anyone who downloads a file must be paranoid about its
  789.   legitimacy.  Call me a crusader, but I'd really like to see the day that
  790.   this is no longer true.  Until then, if you _know_ of a new official
  791.   version of a program listed here, please help me verify it.
  792.  
  793.   On the same token, hacks need to be verified, too.  I won't be held
  794.   responsible for falsely accusing the real thing of being a fraud.  So,
  795.   innocent until proven guilty, but unofficial until verified.
  796.  
  797.   Upcoming official releases will not be included or announced in this
  798.   report.  It is this Co-Moderator's personal opinion that the hype
  799.   surrounding a pending release leads to hacks and Trojans, which is
  800.   exactly the opposite of what I'm trying to accomplish here.
  801.  
  802.   If you know of any other programs that are hacks, bogus, jokes, hoaxes,
  803.   etc., please let me know.  Thanks for helping to keep shareware clean!
  804.  
  805. Lee Jackson, Co-Moderator, FidoNet International Echo SHAREWRE (1:382/95)