Jerusalem (computervirus)

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 3. marts 2020; checks kræver 6 redigeringer .

Jerusalem  er en computervirus med en logisk bombe , først opdaget på det hebraiske universitet i Jerusalem i oktober 1987 [1] . Når den er inficeret , bliver virussen resident ved at bruge 2 KB hukommelse og inficerer derefter hver eksekverbar fil, når den startes, undtagen COMMAND.COM [2] . COM -filer vokser med 1813 bytes, når de er inficeret med en virus og bliver ikke geninficeret. EXE-filer vokser med 1808-1823 bytes ved hver infektion og inficerer derefter igen hver gang de kører, indtil de er for store til at blive indlæst i hukommelsen. Nogle inficerede .EXE-filer vokser ikke i størrelse. Nogle gange bliver EXE-filer ødelagt efter at være blevet inficeret, hvilket får programmet til at gå ned eller fryse umiddelbart efter, at det er startet.

Jerusalem-viruskoden bruger interrupts (int) og andre funktioner på lavt niveau i MS-DOS- operativsystemet . For eksempel undertrykker en virus konsoloutput, hvis den ikke kan inficere en fil på en skrivebeskyttet enhed, såsom en diskette . Et af tegnene på computerinfektion er fraværet af det store bogstav B i den velkendte systemmeddelelse "Dårlig kommando eller filnavn".

Jerusalem-virussen er unik blandt andre datidens vira, idet den logiske bombe skulle sprænges fredag ​​den 13. i alle kalenderår undtagen 1987 [3] . Når den først er lanceret, sletter virussen ikke kun alle programmer, der kører den dag [4] , men inficerer også EXE-filer flere gange, indtil de overskrider den maksimalt tilladte størrelse for computeren [5] . Denne funktion, som ikke var inkluderet i alle ændringer af Jerusalem, virker 30 minutter efter, at systemet er inficeret, hvilket sænker den inficerede computer betydeligt og gør det lettere at opdage virussen [5] [6] . Jerusalem er også kendt som "den sorte boks" på grund af den visuelle effekt, den viser under driften. Hvis systemet er i teksttilstand, skaber virussen et lille sort rektangel fra linje 5, kolonne 5 til linje 16, kolonne 16. Tredive minutter efter at virussen er aktiveret, ruller dette rektangel to linjer op [5] .

Tilslutning af en virus til en lav-niveau timer-afbrydelse på PC/XT -systemet sænker den til en femtedel af dens normale hastighed 30 minutter efter opstart, selvom afmatningen er mindre mærkbar på hurtigere maskiner. Virusset indeholder kode, der kommer ind i behandlingsløkken, hver gang processortimeren aktiveres.

Infektionssymptomer omfatter også spontan afbrydelse af arbejdsstationer fra det lokale netværk og oprettelse af store filer i printerens udskriftskø. Forbindelsesafbrydelser opstår på grund af brugen af ​​lav-niveau DOS int 21h afbrydelser af virussen, som bruger Novell NetWare og andre netværksimplementeringer til at oprette forbindelse til filsystemet.

I starten var Jerusalem meget almindeligt blandt datidens computervirus, hvilket gav anledning til en lang række varianter. Men siden fremkomsten af ​​Windows er DOS-afbrydelserne, der bruges af virussen, ikke længere aktiveret, så Jerusalem og dets ændringer er forældede og fungerer ikke.

Noter

  1. מבט לאחור: הווירוס הישראלי הראשון  (hebraisk) . ynet (2. februar 2006). Hentet 10. marts 2019. Arkiveret fra originalen 6. februar 2006.
  2. Jerusalem . ESET. Hentet 9. februar 2013. Arkiveret fra originalen 6. juni 2020.
  3. Afsnit 35 - The Jerusalem Virus - Malicious Life Podcast . Ondsindet liv . Hentet 10. marts 2019. Arkiveret fra originalen 3. april 2019.
  4. Jerusalem, 1808 . www.symantec.com . Hentet 10. marts 2019. Arkiveret fra originalen 3. april 2019.
  5. ↑ 1 2 3 Jerusalem Beskrivelse |  F- Secure Labs . www.f-secure.com . Dato for adgang: 10. marts 2019. Arkiveret fra originalen 27. januar 2001.
  6. JERUSALEM - Threat Encyclopedia - Trend Micro US . www.trendmicro.com . Hentet 27. marts 2019. Arkiveret fra originalen 27. marts 2019.

Links

 1980'ernes hackangreb
Computervirus
1980'erne • 1990'erne