Jerusalem (datorvirus)

Jerusalem  är ett datavirus med en logisk bomb , som först upptäcktes vid hebreiska universitetet i Jerusalem i oktober 1987 [1] . När det infekteras blir viruset inbyggt, använder 2 KB minne, och infekterar sedan varje körbar fil när den startas, förutom COMMAND.COM [2] . COM-filer växer med 1813 byte när de är infekterade med ett virus och återinfekteras inte. EXE-filer växer med 1808-1823 byte vid varje infektion och återinfekteras sedan varje gång de körs tills de är för stora för att laddas in i minnet. Vissa infekterade EXE-filer växer inte i storlek. Ibland blir EXE-filer skadade efter att ha blivit infekterade, vilket gör att programmet kraschar eller fryser direkt efter att det har startat.

Jerusalem-viruskoden använder avbrott (int) och andra lågnivåfunktioner i MS-DOS- operativsystemet . Till exempel, ett virus undertrycker konsolutdata om det inte kan infektera en fil på en skrivskyddad enhet som en diskett . Ett av tecknen på datorinfektion är frånvaron av den stora bokstaven B i det välkända systemmeddelandet "Dåligt kommando eller filnamn".

Jerusalemviruset är unikt bland andra virus på den tiden genom att den logiska bomben var tänkt att sprängas fredagen den 13:e under alla kalenderår utom 1987 [3] . När viruset väl har lanserats tar det inte bara bort alla program som körs den dagen [4] , utan infekterar också EXE-filer flera gånger tills de överskrider den maximala tillåtna storleken för datorn [5] . Denna funktion, som inte ingick i alla ändringar av Jerusalem, fungerar 30 minuter efter att systemet har infekterats, vilket avsevärt saktar ner den infekterade datorn och gör det lättare att upptäcka viruset [5] [6] . Jerusalem är också känd som "Black Box" på grund av den visuella effekten som den visar under dess drift. Om systemet är i textläge skapar viruset en liten svart rektangel från rad 5, kolumn 5 till rad 16, kolumn 16. Trettio minuter efter att viruset har aktiverats rullar denna rektangel upp två rader [5] .

Att ansluta ett virus till ett timeravbrott på låg nivå på PC/XT -systemet saktar ner det till en femtedel av sin normala hastighet 30 minuter efter start, även om nedgången är mindre märkbar på snabbare maskiner. Viruset innehåller kod som kommer in i bearbetningsslingan varje gång processortimern aktiveras.

Infektionssymtom inkluderar också spontan bortkoppling av arbetsstationer från det lokala nätverket och skapandet av stora filer i skrivarens utskriftskö. Anslutningsavbrott uppstår på grund av användningen av lågnivå DOS int 21h-avbrott av viruset, som använder Novell NetWare och andra nätverksimplementeringar för att ansluta till filsystemet.

Från början var Jerusalem mycket vanligt bland den tidens datavirus, vilket gav upphov till ett stort antal varianter. Men sedan tillkomsten av Windows är DOS-avbrotten som används av viruset inte längre aktiverade, så Jerusalem och dess ändringar är föråldrade och fungerar inte.

Anteckningar

1. ↑ מבט לאחור: הווירוס הישראלי הראשון  (hebreiska) . ynet (2 februari 2006). Hämtad 10 mars 2019. Arkiverad från originalet 6 februari 2006.
2. ↑ Jerusalem . ESET. Hämtad 9 februari 2013. Arkiverad från originalet 6 juni 2020. (obestämd)
3. ↑ Avsnitt 35 - Jerusalem Virus - Podcast för skadligt liv . Skadligt liv . Hämtad 10 mars 2019. Arkiverad från originalet 3 april 2019. (obestämd)
4. ↑ Jerusalem, 1808 . www.symantec.com . Hämtad 10 mars 2019. Arkiverad från originalet 3 april 2019. (obestämd)
5. ↑ 1 2 3 Jerusalem Beskrivning |  F- Secure Labs . www.f-secure.com . Tillträdesdatum: 10 mars 2019. Arkiverad från originalet den 27 januari 2001.
6. ↑ JERUSALEM - Threat Encyclopedia - Trend Micro US . www.trendmicro.com . Hämtad 27 mars 2019. Arkiverad från originalet 27 mars 2019. (obestämd)

Länkar

• Jerusalems uppgång och fall, kapitel i en IBM-virusforskningsrapport
• Antivirusföretaget Sophos beskrivning av Jerusalemviruset
• Antivirusföretagets Network Associates beskrivning om Jerusalem-viruset
• Jerusalem.1808
• Jerusalem virus