Jerusalem er en computervirus med en logisk bombe , først opdaget på det hebraiske universitet i Jerusalem i oktober 1987 [1] . Når den er inficeret , bliver virussen resident ved at bruge 2 KB hukommelse og inficerer derefter hver eksekverbar fil, når den startes, undtagen COMMAND.COM [2] . COM -filer vokser med 1813 bytes, når de er inficeret med en virus og bliver ikke geninficeret. EXE-filer vokser med 1808-1823 bytes ved hver infektion og inficerer derefter igen hver gang de kører, indtil de er for store til at blive indlæst i hukommelsen. Nogle inficerede .EXE-filer vokser ikke i størrelse. Nogle gange bliver EXE-filer ødelagt efter at være blevet inficeret, hvilket får programmet til at gå ned eller fryse umiddelbart efter, at det er startet.
Jerusalem-viruskoden bruger interrupts (int) og andre funktioner på lavt niveau i MS-DOS- operativsystemet . For eksempel undertrykker en virus konsoloutput, hvis den ikke kan inficere en fil på en skrivebeskyttet enhed, såsom en diskette . Et af tegnene på computerinfektion er fraværet af det store bogstav B i den velkendte systemmeddelelse "Dårlig kommando eller filnavn".
Jerusalem-virussen er unik blandt andre datidens vira, idet den logiske bombe skulle sprænges fredag den 13. i alle kalenderår undtagen 1987 [3] . Når den først er lanceret, sletter virussen ikke kun alle programmer, der kører den dag [4] , men inficerer også EXE-filer flere gange, indtil de overskrider den maksimalt tilladte størrelse for computeren [5] . Denne funktion, som ikke var inkluderet i alle ændringer af Jerusalem, virker 30 minutter efter, at systemet er inficeret, hvilket sænker den inficerede computer betydeligt og gør det lettere at opdage virussen [5] [6] . Jerusalem er også kendt som "den sorte boks" på grund af den visuelle effekt, den viser under driften. Hvis systemet er i teksttilstand, skaber virussen et lille sort rektangel fra linje 5, kolonne 5 til linje 16, kolonne 16. Tredive minutter efter at virussen er aktiveret, ruller dette rektangel to linjer op [5] .
Tilslutning af en virus til en lav-niveau timer-afbrydelse på PC/XT -systemet sænker den til en femtedel af dens normale hastighed 30 minutter efter opstart, selvom afmatningen er mindre mærkbar på hurtigere maskiner. Virusset indeholder kode, der kommer ind i behandlingsløkken, hver gang processortimeren aktiveres.
Infektionssymptomer omfatter også spontan afbrydelse af arbejdsstationer fra det lokale netværk og oprettelse af store filer i printerens udskriftskø. Forbindelsesafbrydelser opstår på grund af brugen af lav-niveau DOS int 21h afbrydelser af virussen, som bruger Novell NetWare og andre netværksimplementeringer til at oprette forbindelse til filsystemet.
I starten var Jerusalem meget almindeligt blandt datidens computervirus, hvilket gav anledning til en lang række varianter. Men siden fremkomsten af Windows er DOS-afbrydelserne, der bruges af virussen, ikke længere aktiveret, så Jerusalem og dets ændringer er forældede og fungerer ikke.
1980'ernes hackangreb | |
---|---|
Computervirus | |
1980'erne • 1990'erne |