Jerusalem (virus informàtic)
Jerusalem és un virus de bomba lògica de DOS detectat per primera vegada a la Universitat Hebrea de Jerusalem, l'octubre de 1987.[1] En cas d'infecció, el virus de Jerusalem es converteix en resident de memòria (amb 2 KB de memòria) i, a continuació, infecta tots els fitxers executables, excepte COMMAND. COM.[2] Els fitxers COM creixen 1.813 bytes quan estan infectats pel Jerusalem i no es tornen a infectar. Els fitxers executables (EXE) creixen entre 1.808 i 1.823 bytes cada vegada que s'infecten, i es tornen a infectar cada vegada que es carreguen els fitxers, fins que siguin massa grans per carregar-los a la memòria. Alguns fitxers EXE poden estar infectats, però no creixen, perquè hi ha diverses superposicions que segueixen l'autèntic fitxer EXE al mateix fitxer. De vegades els fitxers EXE estan infectats de manera incorrecta i fan que el programa no funcioni a l'executar-lo.
El codi del virus es connecta al processament d'interrupcions i a altres serveis DOS de baix nivell. Per exemple, el codi del virus suprimeix la impressió de missatges de consola si, per exemple, el virus no pot infectar un fitxer en un dispositiu de només lectura, com ara un disquet. Una de les pistes que indica que un ordinador està infectat és l'ús de majúscules i minúscules del conegut missatge " Ordre o nom del fitxer incorrectes " com a "Ordre incorrecte o nom de fitxer".
El virus Jerusalem és únic entre els altres virus de l'època, ja que es tracta d'una bomba lògica que s'activa cada divendres 13, tots els anys, excepte el 1987.[3] Un cop activat, el virus, no només elimina qualsevol programa executat aquell dia,[4] sinó que també infecta fitxers .EXE repetidament fent-los créixer massa per a l'ordinador.[5] Aquesta característica particular, que no estava inclosa en totes les variants de Jerusalem, s'activa 30 minuts després que el sistema s'hagi infectat, alentint significativament l'ordinador infectat, cosa que permet una detecció més fàcil.[6] Jerusalem també es coneix com a "BlackBox" a causa d'una caixa negra que es mostra durant la seqüència de càrrega útil. Si el sistema està en mode text, Jerusalem crea un petit rectangle negre de la fila 5, de la columna 5 a la fila 16, de la columna 16. Trenta minuts després d'activar el virus, aquest rectangle es desplaça cap amunt dues línies.
Com a conseqüència de la connexió del virus a la interrupció del temporitzador de baix nivell, els sistemes PC-XT disminueixen la velocitat fins a una cinquena part de la seva velocitat normal 30 minuts després d'haver-se instal·lat el virus, tot i que la desacceleració es nota menys en màquines més ràpides. El virus conté codi que entra en un bucle de processament cada vegada que s'activa la marca del temporitzador del processador.
Els símptomes també inclouen la desconnexió espontània de les estacions de treball de les xarxes i la creació de fitxers grans de cua de la impressora. Es produeixen desconnexions, ja que Jerusalem utilitza les funcions DOS de baix nivell "interrompre 21h" que Novell NetWare i altres implementacions de xarxa necessiten per connectar al sistema de fitxers.
Jerusalem es va estendre ràpidament (per a un virus d'aquella època) i va generar un gran nombre de variants. Tot i això, des de l'aparició de Windows, aquestes interrupcions DOS ja no s'utilitzen, de manera que Jerusalem i les seves variants han quedat obsoletes.
Àlies
- 1808 (EXE), a causa de la longitud del virus de 1808 bytes.
- 1813 (COM), a causa de la longitud del virus de 1813 bytes.[7]
- Divendres 13 (Nota: el nom també pot fer referència a dos virus que no estan relacionats amb Jerusalem: divendres 13 de 440 / Omega i Virus B), a causa de la seva data de desencadenament divendres 13.
- Universitat Hebrea, tal com van descobrir els estudiants que van assistir a la Universitat Hebrea.[1]
- Israelià
- OLP, a causa de la creença que va ser creada per l'Organització per a l' Alliberament de Palestina amb motiu del 13 de maig de 1948, el dia abans del Dia de la Independència d'Israel, l'últim dia que Palestina va existir com a país.
- Rus
- Dissabte 14
- sUMsDos, fent referència a un fragment del codi del virus.
Variants
- Aconsegueix Contrasenya 1 (GP1): Descobert dins 1991, aquest Novell NetWare-intents de virus específic per reunir contrasenyes del NetWare DOS pela dins memòria a usuari login, el qual llavors retransmet a un número de casquet específic en la xarxa on un programa de company els pot recuperar. Aquest virus no treballa en Novell 2.x I versions més noves.[5]
- Suriv Virus: Virus que són més d'hora, versions més primitives de Jerusalem. El Jerusalem el virus és considerat per ser basat en Suriv-3, el qual és una bomba de lògica provocat quan la data és divendres el 13è, canviant de l'ordinador en el 13è. Dins ell, Suriv-3 és basat en els seus predecessors, Suriv-1 i Suriv-2, els quals són bombes de lògica va provocar damunt abril 1 (el dia d'April Ximplets), mostrant lectura de text "April 1, ha ha tens un virus!".[3] Suriv-1 infecta .Arxius de COM i Suriv-2 infecta .Arxius d'EXE, mentre Suriv-3 infecta ambdós tipus d'arxius. El nom d'aquests virus ve de lletrejar "virus" enrere.[7]
- Diumenge (Jeru-diumenge): (article Principal: diumenge (virus d'ordinador))Aquest virus creix arxius per 1,636 bytes. La variant és pretesa per eliminar cada programa mentre és corregut cada diumenge, però programari bugs impedir això de passar. En cada diumenge, el virus mostra el missatge següent:
Avui és diumenge! Per què treballes tan dur? Tota feina i cap marca de joc tu un atenuar noi! Vingut damunt! Deixat és sortir i tenir alguna diversió!
- Variants de diumenge
- Diumenge.Un: El virus de diumenge original.
- Diumenge.b: Una versió de diumenge que té un programa funcional-eliminant funció.
- Diumenge.1.b: Una millora a diumenge.b Quin fixa un bug pel que fa a l'Error Crític Handler, el qual causa els problemes damunt escriuen-va protegir discos.
- Diumenge.1.Tenseconds: Una variant damunt diumenge.Un quin manté un 10 segon retard entre missatges i diumenge de conjunts mentre dia 0 en comptes de dia 7.
- Diumenge.2: Una variant damunt diumenge.Un quin creix arxius per 1,733 bytes en comptes de l'original 1,636 bytes.
- Anarkia: Anarkia Té una data de gallet de dimarts el 13è i utilitza el self-codi de reconeixement "Anarkia".[8]
- PSQR (1720): PQSR infecta .COM i .Arxius d'EXE, però no infecta overlay arxius o ORDRE.COM. Causa infectat .COM arxiva per créixer per 1,720 bytes i .Arxius d'EXE per 1,719-1,733 bytes. Ell activates damunt divendres el 13è, i eliminarà qualsevol arxiu corregut que dia. Les escombraries és escrita al rècord de bota mestre i els nou sectors després del MBR. El PQSR d'usos "del virus" com el seu self-codi de reconeixement.[9]
- Frère: Frère Jocs Frère Jacques cada divendres. Augmenta la mida de va infectar .Arxius de COM per 1,813 bytes i .Arxius d'EXE per 1,808-1,822 bytes, però no infecta ORDRE.COM.[10]
- Westwood (Jerusalem-Westwood): Westwood Les causes arxiva per créixer per 1,829 bytes. Si el virus és memòria-resident, Westwood elimina qualsevol arxiu corregut durant divendres el 13è.[11]
- Jerusalem 11-30: Aquest virus infecta .COM, .EXE, i overlay arxius, però no MANAR.COM. El virus infecta programes mentre són utilitzats, i les causes van infectar .COM arxiva per créixer per 2,000 bytes i .EXE arxiva per créixer per 2,000-2,014 bytes. Tanmateix, a diferència de l'original Jerusalem virus, ell no re-infectar .Arxius d'EXE.[12]
- Jerusalem-Apocalipsi: Desenvolupat dins Itàlia, aquest virus infecta programes mentre són executats, i inserirà l'Apocalipsi "de text!!" Dins va infectar arxius. Causa infectat .COM arxiva per créixer per 1,813 bytes i .EXE per créixer per 1,808-1,822 bytes. Pugui re-infectar .Arxius d'EXE, i augmentarà la mida de ja va infectar .Arxius d'EXE per 1,808 bytes.
- Jerusalem-VT1: Si el virus és memòria-resident, elimini qualsevol arxiu corregut damunt dimarts el 1r.
- Jerusalem-T13: Les causes de virus .COM i .EXE arxiva per créixer per 1,812 bytes. Si el virus és memòria-resident, elimini qualsevol programa corregut damunt dimarts el 13è.
- Jerusalem-Va seure13: Si el virus és memòria-resident, elimini qualsevol programa corregut damunt dissabte el 13è.
- Jerusalem-Czech: El virus infecta .COM i .Arxius d'EXE, però no MANAR.COM. Causa infectat .COM arxiva per créixer per 1,735 bytes i .EXE arxiva per créixer per 1,735-1,749 bytes. No elimini els programes correguts damunt divendres el 13è. Jerusalem-Czech Té un self-codi de reconeixement i un codi placement que difereix de l'original Jerusalem, i és freqüentment detectat com a variant de diumenge.
- Jerusalem-Nemesis: Aquest virus insereix les cordes "NEMESIS.COM" i "NOKEY" dins van infectar arxius.
- Jerusalem-Viatges de capità: Jerusalem-Viatges de Capità conté els Viatges "de Capità de les cordes" i "SPITFIRE". Viatges de capità és el nom del apocalyptic la pesta va descriure dins Stephen King novell La Posició. Si l'any és qualsevol any altre que 1990 i el dia és un divendres damunt o després del 15è, Jerusalem-Viatges de Capità crea un arxiu buit amb el mateix nom com qualsevol programa corregut que dia. En el 16è Jerusalem-Viatge de Capità re-programes el controlador de vídeo, i en diverses altres dates instal·la una rutina en el temporitzador fa tic-tac que activates quan 15 passi de minuts. Jerusalem-Viatges de capità té diversos errors.
- Jerusalem-J: Les causes de variant .COM arxiva per créixer per 1,237 bytes i .Arxius d'EXE per aproximadament 1,232 bytes. El virus té cap "Jerusalem efectes", i origina d'Hong Kong.
- Jerusalem-Groc (Creixent Bloc): Jerusalem-Groc infecta .EXE i .Arxius de COM. Infectat .Arxius de COM creixen per 1,363 bytes i .Arxius d'EXE creixen per 1,361-1,375 bytes. Jerusalem-Groc crea una caixa groga gran amb una ombra al mig de la pantalla i l'ordinador penja.[13]
- Jerusalem-Jan25: Si el virus és memòria-resident, ell activate damunt gener 25 i eliminarà qualsevol programa corregut que dia. A més, ell no re-infectar .Arxius d'EXE.
- Skism: El virus activate en qualsevol divendres després del 15è del mes, i les causes van infectar .COM arxiva per créixer per 1,808 bytes i va infectar .EXE per créixer per 1,808-1,822 bytes. A més, pugui re-infectar .Arxius d'EXE.
- Carfield (Jeru-Carfield): Les causes de virus van infectar arxius per créixer per 1,508 bytes. Si el virus és memòria-resident i el dia és dilluns, l'ordinador mostrarà la corda "Carfield!" Cada 42 segons.[14]
- Mendoza (Jerusalem Mendoza): El virus res si l'any és 1980 o 1989, però per tots altres anys una bandera és posada si el virus és resident de memòria i si el recompte de motor de disc flexible és 25. La bandera serà posada si un programa és corregut d'un disc flexible. Si la bandera és posada, cada programa que corre és eliminat. Si la bandera no és posar i 30 passis de minuts, el cursor és canviat a un bloc. Després una hora, Pany de Gorres, Nums Pany, i Scroll el pany és canviat de "Fora". A més, ell no re-infectar .Arxius d'EXE.
- Einstein: Això és una variant petita, només 878 bytes, i infecta .Arxius d'EXE.
- Moctezuma: Aquest virus de variant és 2,228 bytes i és encriptat.
- Segle: Aquesta variant és una bomba de lògica amb data de gallet d'1 de gener de 2000 que va ser suposada per mostrar la Benvinguda "de missatge al segle XXI". Tanmateix, ningú és segur mentre a la legitimitat del virus, mentre ningú ha vist el.
- Danube: El Danube el virus és una variant única de Jerusalem, mentre ha evolucionat allèn Jerusalem i només reflecteix molt poques parts d'ell. Aquest virus és un multipartite virus, així que té diversos mètodes per quin pugui infectar i estès: sectors de bota del disc així com .COM i .Arxius d'EXE. A causa d'aquest, com les feines de virus és dependents a l'origen del virus (sector de bota o programa). Quan un programa contaminat és executat, el virus resideix dins memòria, agafant 5 kB. A més, comprovi si també resideix en el sector de bota actiu i col·locarà una còpia d'ell allà si no va ser presentar abans que. Quan un ordinador és xutat d'un disc de sector de/bota contaminat, el virus es col·locarà dins la memòria abans del sistema operatiu és fins i tot carregat. Reserva 5 kB de memòria de base de la DOS, i reserva 5 sectors en qualsevol disc infecta.
- HK: Aquesta variant de Jerusalem origina d'Hong Kong, i referencia un de les escoles tècniques d'Hong Kong en el seu codi.
- Jerusalem-1767: Aquest virus infecta .EXE i .Arxius de COM, i infectarà ORDRE.COM si és executa. Causa .COM arxiva per créixer per 1,767 bytes i .EXE per créixer per 1,767-1,799 bytes. Va infectar els arxius inclouen les cordes "*van INFECTAR PER DIVENDRES 13è*" o "ORDRE.COM".[15]
- Jerusalem-1663: Aquest virus infecta .EXE i .Arxius de COM, incloent ORDRE.COM. Una vegada que resident de memòria, infecta programes mentre són correguts. Causa .COM i .EXE arxiva per créixer per 1,663 bytes, però no pugui reconèixer va infectar arxius, així que pugui re-infectar tots dos .COM i .Arxius d'EXE.[16]
- Jerusalem-Haifa: Aquest virus infecta .EXE i .Arxius de COM, però no MANAR.COM. Causa .COM arxiva per créixer per 2,178 bytes i .EXE arxiva per créixer per 1,960-1,974 bytes. El seu nom és a causa de la paraula hebrea per Haifa, una ciutat israeliana, sent en el codi de virus.[17]
- Phenome: Aquest virus és similar a la variant d'Apocalipsi, però infectarà ORDRE.COM. Ell només activates cada dissabte, i no permet l'usuari per executar programes. Presenta la corda "PHENOME.COM" i "MsDos".
Referències
- ↑ 1,0 1,1 «מבט לאחור: הווירוס הישראלי הראשון» (en hebreu). ynet, 02-02-2006. [Consulta: 10 març 2019].
- ↑ «Jerusalem». ESET. [Consulta: 9 febrer 2013].
- ↑ 3,0 3,1 «Episode 35 - The Jerusalem Virus - Malicious Life Podcast». Malicious Life. [Consulta: 10 març 2019].
- ↑ «Jerusalem,1808». www.symantec.com. [Consulta: 10 març 2019].
- ↑ 5,0 5,1 «Jerusalem Description | F-Secure Labs» (en anglès). www.f-secure.com. [Consulta: 10 març 2019].
- ↑ «JERUSALEM - Threat Encyclopedia - Trend Micro US». www.trendmicro.com. [Consulta: 27 març 2019].
- ↑ 7,0 7,1 DaBoss. «Chapter 6 Lehigh/ Jerusalem» (en anglès americà). Computer Knowledge, 27-02-2013. [Consulta: 10 març 2019].
- ↑ «Online VSUM - Jerusalem Virus». wiw.org. [Consulta: 27 març 2019].
- ↑ «Online VSUM - 1720 Virus». wiw.org. [Consulta: 27 març 2019].
- ↑ «Online VSUM - Frere Jacques Virus». wiw.org. [Consulta: 27 març 2019].
- ↑ «Online VSUM - Westwood Virus». wiw.org. [Consulta: 27 març 2019].
- ↑ «Online VSUM - Jerusalem 11-30 Virus». wiw.org. [Consulta: 27 març 2019].
- ↑ «Online VSUM - Growing Block Virus». wiw.org. [Consulta: 27 març 2019].
- ↑ «JERUSALEM-10 - Threat Encyclopedia - Trend Micro US». www.trendmicro.com. [Consulta: 27 març 2019].
- ↑ «Online VSUM - Jerusalem 1767 Virus». wiw.org. [Consulta: 27 març 2019].
- ↑ «Online VSUM - Jerusalem 1663 Virus». wiw.org. [Consulta: 27 març 2019].
- ↑ «Online VSUM - Jerusalem-Haifa Virus». wiw.org. [Consulta: 27 març 2019].
Enllaços externs
|
|