Jerozolima (wirus komputerowy)

Jerozolima
Nazwa zwyczajowa Jerozolima
Skróty
  • Arabska gwiazda
  • piątek 13
  • izraelski
Klasyfikacja Nieznany
Typ Wirus komputerowy
Systemy operacyjne, których to dotyczy DOS

Jeruzalem to wirus bomby logicznej DOS wykryty po raz pierwszy na Uniwersytecie Hebrajskim w Jerozolimie w październiku 1987 r. Po infekcji wirus jerozolimski staje się rezydentem w pamięci (wykorzystując 2 kb pamięci), a następnie infekuje każdy uruchomiony plik wykonywalny, z wyjątkiem COMMAND.COM . Pliki COM powiększają się o 1813 bajtów po zainfekowaniu przez Jeruzalem i nie są ponownie zainfekowane. wykonywalne powiększają się o 1808 do 1823 bajtów za każdym razem, gdy są zainfekowane, a następnie są ponownie infekowane za każdym razem, gdy pliki są ładowane, aż staną się zbyt duże, aby załadować je do pamięci. Niektóre pliki .EXE są zainfekowane, ale nie rozwijają się, ponieważ kilka nakładek podąża za oryginalnym plikiem .EXE w tym samym pliku. Czasami pliki .EXE są nieprawidłowo zainfekowane, co powoduje, że program nie uruchamia się zaraz po uruchomieniu.

kod wirusa łączy się z przetwarzaniem przerwań i innymi usługami DOS niskiego poziomu. Na przykład kod wirusa blokuje drukowanie komunikatów konsoli, jeśli na przykład wirus nie jest w stanie zainfekować pliku na urządzeniu tylko do odczytu, takim jak dyskietka . Jedną z wskazówek, że komputer jest zainfekowany, jest błędna pisownia dobrze znanego komunikatu „ Błędne polecenie lub nazwa pliku ” wielkimi literami jako „Złe polecenie lub nazwa pliku”.

Wirus jerozolimski jest wyjątkowy wśród innych wirusów tamtych czasów, ponieważ jest bombą logiczną , która ma wybuchnąć w piątek 13-go we wszystkich latach z wyjątkiem 1987 r. (pierwsza data aktywacji to 13 maja 1988 r.). Po uruchomieniu wirus nie tylko usuwa wszystkie programy uruchomione tego dnia, ale także wielokrotnie infekuje pliki .EXE, aż staną się zbyt duże dla komputera. Ta konkretna funkcja, która nie była dostępna we wszystkich wariantach Jeruzalem, jest uruchamiana 30 minut po zainfekowaniu systemu, znacznie spowalnia zainfekowany komputer, ułatwiając w ten sposób wykrycie. Jerozolima jest również znana jako „BlackBox” ze względu na czarną skrzynkę, którą wyświetla podczas sekwencji ładunku. Jeśli system jest w trybie tekstowym, Jeruzalem tworzy mały czarny prostokąt od wiersza 5, kolumna 5 do wiersza 16, kolumna 16. Trzydzieści minut po aktywacji wirusa ten prostokąt przewija się o dwie linie w górę.

W wyniku włączenia się wirusa do przerwania czasowego niskiego poziomu, systemy PC-XT zwalniają do jednej piątej swojej normalnej prędkości 30 minut po zainstalowaniu się wirusa, chociaż spowolnienie jest mniej zauważalne na szybszych komputerach. Wirus zawiera kod, który wchodzi w pętlę przetwarzania za każdym razem, gdy aktywowany jest takt zegara procesora.

Objawy obejmują również spontaniczne odłączanie stacji roboczych od sieci i tworzenie dużych zbiorów buforowych drukarki . Rozłączenia występują, ponieważ Jerozolima używa niskopoziomowych funkcji DOS „ przerwanie 21h ”, które Novell NetWare i inne implementacje sieciowe wymagane są do podłączenia do systemu plików.

Jerozolima była początkowo bardzo powszechna (jak na ówczesnego wirusa) i dała początek dużej liczbie wariantów. Jednak od czasu pojawienia się systemu Windows te przerwania DOS nie są już używane, więc Jerozolima i jej warianty stały się przestarzałe.

Skróty

  • 1808(EXE), ze względu na długość wirusa wynoszącą 1808 bajtów.
  • 1813(COM), ze względu na długość wirusa wynoszącą 1813 bajtów.
  • Friday13th (Uwaga: nazwa może również odnosić się do dwóch wirusów niezwiązanych z Jerozolimą: Friday-13th-440/Omega i Virus-B), ze względu na datę jego uruchomienia w piątek 13-go.
  • Uniwersytet Hebrajski, jak odkryli studenci, którzy uczęszczali na Uniwersytet Hebrajski.
  • izraelski
  • OWP, ze względu na przekonanie, że została utworzona przez Organizację Wyzwolenia Palestyny ​​dla uczczenia 13 maja 1948 roku, dzień przed Dniem Niepodległości Izraela , najwyraźniej ostatnim dniem istnienia Palestyny ​​jako państwa.
  • Rosyjski
  • sobota 14
  • sUMsDos, odwołujący się do fragmentu kodu wirusa.

Warianty

  • Uzyskaj hasło 1 (GP1): Odkryty w 1991 r., ten specyficzny dla Novell NetWare wirus próbuje zebrać hasła z powłoki NetWare DOS w pamięci podczas logowania użytkownika, a następnie rozgłasza je do określonego numeru gniazda w sieci, gdzie program towarzyszący może odzyskać ich. Ten wirus nie działa na Novell 2.x i nowszych wersjach.
  • Wirusy Suriv: Wirusy, które są wcześniejszymi, bardziej prymitywnymi wersjami Jerozolimy. Uważa się, że wirus jerozolimski jest oparty na Suriv-3, który jest bombą logiczną uruchamianą w piątek trzynastego , wyłączającą komputer 13-go. Sam Suriv-3 bazuje na swoich poprzednikach, Suriv-1 i Suriv-2, które są bombami logicznymi odpalonymi 1 kwietnia ( Prima Aprilis). ), wyświetlając tekst „1 kwietnia, ha ha, masz wirusa!”. Suriv-1 infekuje pliki .COM, Suriv-2 pliki .EXE, podczas gdy Suriv-3 infekuje oba typy plików. Nazwa tych wirusów pochodzi od wstecznej pisowni słowa „wirus”.
  • Sunday (Jeru-Sunday): (Główny artykuł: Sunday (wirus komputerowy) )Ten wirus powiększa pliki o 1636 bajtów. Wariant ma na celu usunięcie każdego programu, który jest uruchamiany w każdą niedzielę, ale błędy oprogramowania uniemożliwiają to. W każdą niedzielę wirus wyświetla następujący komunikat:

    Dzisiaj jest niedziela! Dlaczego tak ciężko pracujesz? Cała praca i brak zabawy sprawiają, że jesteś tępym chłopcem! Pospiesz się! Chodźmy się zabawić!

  • Warianty niedzieli
    • Sunday.a: Oryginalny wirus Sunday.
    • Sunday.b: Wersja Sunday, która ma funkcjonalną funkcję usuwania programów.
    • Sunday.1.b: Ulepszenie w stosunku do Sunday.b, które naprawia błąd dotyczący obsługi błędów krytycznych, który powoduje problemy na dyskach chronionych przed zapisem.
    • Sunday.1.Tenseconds: Wariant w Sunday.a, który utrzymuje 10-sekundowe opóźnienie między wiadomościami i ustawia niedzielę jako dzień 0 zamiast dnia 7.
    • Sunday.2: wariant Sunday.a, który powiększa pliki o 1733 bajty zamiast oryginalnych 1636 bajtów.
  • Anarkia: Anarkia ma datę aktywacji we wtorek 13 i używa kodu samorozpoznania „Anarkia”.
  • PSQR (1720): PQSR infekuje pliki .COM i .EXE, ale nie infekuje plików nakładek ani COMMAND.COM. Powoduje wzrost zainfekowanych plików .COM o 1720 bajtów, a plików .EXE o 1719-1733 bajtów. Aktywuje się w piątek 13-go i usunie wszystkie pliki uruchomione tego dnia. Śmieci są zapisywane w głównym rekordzie rozruchowym i dziewięciu sektorach po MBR. Wirus wykorzystuje „PQSR” jako kod samorozpoznawczy, który znajduje się na końcu pliku.
  • Frère: Frère gra Frère Jacques w piątki. Zwiększa rozmiar zainfekowanych plików .COM o 1813 bajtów i plików .EXE o 1808-1822 bajtów, ale nie infekuje COMMAND.COM.
  • Westwood (Jerozolima-Westwood): Westwood powoduje wzrost plików o 1829 bajtów. Jeśli wirus rezyduje w pamięci, Westwood usuwa wszystkie pliki uruchamiane w piątek 13-go .
  • Jerozolima 11-30: Ten wirus infekuje pliki .COM, .EXE i nakładki, ale nie COMMAND.COM. Wirus infekuje programy podczas ich używania i powoduje wzrost zainfekowanych plików .COM o 2000 bajtów oraz plików .EXE o 2000-2014 bajtów. Jednak w przeciwieństwie do oryginalnego wirusa Jerusalem, nie infekuje on ponownie plików .EXE.
  • Jerusalem-Apocalypse: wirus ten, opracowany we Włoszech, infekuje programy podczas ich wykonywania i wstawia tekst „Apocalypse !!” w zainfekowanych plikach. Powoduje wzrost zainfekowanych plików .COM o 1813 bajtów i .EXE o 1808-1822 bajtów. Może ponownie infekować pliki .EXE i zwiększa rozmiar już zainfekowanych plików .EXE o 1808 bajtów.
  • Jerusalem-VT1: Jeśli wirus jest rezydujący w pamięci, usunie każdy plik uruchomiony we wtorek 1-go.
  • Jerusalem-T13: Wirus powoduje wzrost plików .COM i .EXE o 1812 bajtów. Jeśli wirus jest rezydujący w pamięci, usunie każdy program uruchomiony we wtorek 13-go.
  • Jerusalem-Sat13: Jeśli wirus rezyduje w pamięci, usunie każdy program uruchomiony w sobotę 13-go.
  • Jerusalem-Czech: wirus infekuje pliki .COM i .EXE, ale nie COMMAND.COM. Powoduje wzrost zainfekowanych plików .COM o 1735 bajtów i plików .EXE o 1735-1749 bajtów. Nie usunie programów emitowanych w piątek 13-go. Jeruzalem-Czech ma kod samorozpoznawczy i rozmieszczenie kodu, które różnią się od oryginalnej Jerozolimy i jest często wykrywany jako wariant niedzielny.
  • Jerusalem-Nemesis: Ten wirus wstawia ciągi „NEMESIS.COM” i „NOKEY” do zainfekowanych plików.
  • Jeruzalem-Captain Trips: Jeruzalem-Captain Trips zawiera łańcuchy „Captain Trips” i „SPITFIRE”. Captain Trips to nazwa apokaliptycznej zarazy opisanej w powieści Stephena Kinga The Stand . Jeśli rok jest inny niż 1990, a dniem jest piątek 15 lub później, Jerusalem-Captain Trips tworzy pusty plik o takiej samej nazwie, jak dowolny program uruchomiony tego dnia. W dniu 16. podróży do Jerozolimy Kapitan przeprogramowuje kontroler wideo , aw kilku innych terminach instaluje procedurę w liczniku czasu, która aktywuje się po upływie 15 minut. Jeruzalem-Captain Trips ma kilka błędów.
  • Jerusalem-J: Wariant powoduje wzrost plików .COM o 1237 bajtów, a plików .EXE o około 1232 bajty. Wirus nie ma „efektu jerozolimskiego” i pochodzi z Hongkongu .
  • Jerusalem-Yellow (Growing Block): Jerusalem-Yellow infekuje pliki .EXE i .COM. Zainfekowane pliki .COM powiększają się o 1363 bajty, a pliki .EXE o 1361-1375 bajtów. Jeruzalem-Yellow tworzy duże żółte pudełko z cieniem na środku ekranu i komputer się zawiesza.
  • Jerozolima-Jan25: Jeśli wirus jest rezydujący w pamięci, aktywuje się 25 stycznia i usunie wszystkie programy uruchomione tego dnia. Ponadto nie infekuje ponownie plików .EXE.
  • Skism: Wirus aktywuje się w każdy piątek po 15 dniu miesiąca i powoduje wzrost liczby zainfekowanych plików .COM o 1808 bajtów oraz zainfekowanego pliku .EXE o 1808-1822 bajtów. Dodatkowo może ponownie infekować pliki .EXE.
  • Carfield (Jeru-Carfield): Wirus powoduje wzrost zainfekowanych plików o 1508 bajtów. Jeśli wirus jest rezydujący w pamięci, a dniem jest poniedziałek, komputer wyświetli napis „Carfield!” co 42 sekundy.
  • Mendoza (Jerozolima Mendoza): Wirus nie robi nic, jeśli rok to 1980 lub 1989, ale dla wszystkich pozostałych lat ustawiana jest flaga, jeśli wirus jest rezydentem w pamięci i jeśli liczba silników dyskietki wynosi 25. Flaga zostanie ustawiona, jeśli program jest uruchamiany z dyskietki. Jeśli flaga jest ustawiona, każdy uruchomiony program jest usuwany. Jeśli flaga nie jest ustawiona i upłynie 30 minut, kursor zmieni się w blok. Po godzinie Caps Lock, Nums Lock i Scroll Lock zostaną wyłączone. Ponadto nie infekuje ponownie plików .EXE.
  • Einstein: To jest mały wariant, tylko 878 bajtów i infekuje pliki .EXE.
  • Montezuma: ten wariant wirusa ma 2228 bajtów i jest zaszyfrowany.
  • Century: Ten wariant to bomba logiczna z datą aktywacji 1 stycznia 2000 r., która miała wyświetlać komunikat „Witamy w XXI wieku”. Jednak nikt nie jest pewien co do legalności wirusa, ponieważ nikt go nie widział.
  • Dunaj: Wirus Dunaju jest unikalnym wariantem Jerozolimy, ponieważ wyewoluował poza Jerozolimę i odzwierciedla tylko kilka jej części. Wirus ten jest wirusem wieloczęściowym, więc może infekować i rozprzestrzeniać się na kilka sposobów: sektory startowe dysku oraz pliki .COM i .EXE. Z tego powodu sposób działania wirusa zależy od pochodzenia wirusa (sektor rozruchowy lub program). Gdy wykonywany jest zainfekowany program, wirus rezyduje w pamięci, zajmując 5 kB. Dodatkowo sprawdzi, czy znajduje się również w aktywnym sektorze rozruchowym i umieści tam swoją kopię, jeśli nie było jej wcześniej. Gdy komputer jest uruchamiany z zanieczyszczonego sektora rozruchowego/dysku, wirus umieszcza się w pamięci, zanim system operacyjny zostanie załadowany. Rezerwuje 5 kB podstawowej pamięci DOS i rezerwuje 5 sektorów na każdym zainfekowanym dysku.
  • HK: Ten wariant Jerozolimy pochodzi z Hongkongu i w swoim kodzie nawiązuje do jednej z tamtejszych szkół technicznych.
  • Jerusalem-1767: Ten wirus infekuje pliki .EXE i .COM, a po uruchomieniu zaraża COMMAND.COM. Powoduje wzrost plików .COM o 1767 bajtów i .EXE o 1767-1799 bajtów. Zainfekowane pliki zawierają napisy „**INFECTED BY FRIDAY 13th**” lub „COMMAND.COM”.
  • Jerusalem-1663: Ten wirus infekuje pliki .EXE i .COM, w tym COMMAND.COM. Po rezydowaniu w pamięci infekuje programy podczas ich uruchamiania. Powoduje wzrost plików .COM i .EXE o 1663 bajty, ale nie może rozpoznać zainfekowanych plików, więc może ponownie infekować zarówno pliki .COM, jak i .EXE.
  • Jerusalem-Haifa: Ten wirus infekuje pliki .EXE i .COM, ale nie COMMAND.COM. Powoduje wzrost plików .COM o 2178 bajtów, a plików .EXE o 1960-1974 bajtów. Jego nazwa pochodzi od hebrajskiego słowa oznaczającego Hajfę , izraelskie miasto, znajdujące się w kodzie wirusa.
  • Phenome: Ten wirus jest podobny do wariantu Apocalypse, ale infekuje COMMAND.COM. Aktywuje się tylko w soboty i nie pozwala użytkownikowi na uruchamianie programów. Zawiera ciąg „PHENOME.COM” i „MsDos”.

Zobacz też

Linki zewnętrzne

Pobrano z „ https://en.wikipedia.org/w/index.php?title=Jerusalem_(computer_virus)&oldid=1136804290