Иерусалим (компьютерный вирус) - Jerusalem (computer virus)

Иерусалим
Распространенное имяИерусалим
Псевдонимы
  • Арабская звезда
  • Пятница 13
  • Израильский
КлассификацияНеизвестный
ТипКомпьютерный вирус
Операционные системы) затронутыйДОС

Иерусалим это логическая бомба ДОС вирус впервые обнаружен в Еврейский университет Иерусалима, в октябре 1987 г.[1] При заражении иерусалимский вирус становится резидентным в памяти (используя 2 КБ памяти), а затем заражает каждый запускаемый исполняемый файл, за исключением COMMAND.COM.[2] COM-файлы увеличиваются на 1813 байт при заражении Иерусалимом и не заражаются повторно. Исполняемый файлы увеличиваются на 1808 до 1823 байта каждый раз, когда они заражаются, а затем повторно заражаются каждый раз при загрузке файлов, пока они не станут слишком большими для загрузки в память. Некоторые файлы .EXE заражены, но не растут, поскольку несколько оверлеев следуют за подлинным файлом .EXE в одном файле. Иногда файлы .EXE заражаются некорректно, в результате чего программа не запускается сразу после ее запуска.

В вирус сам код подключается к прерывать обработка и другой низкий уровень ДОС Сервисы. Например, код вируса подавляет печать сообщений консоли, если, например, вирус не может заразить файл на устройстве только для чтения, таком как дискета. Одним из признаков заражения компьютера является неправильное использование заглавных букв в известном сообщении "Неправильная команда или имя файла "как" Неверная команда или имя файла ".

Иерусалимский вирус уникален среди других вирусов того времени, так как это логическая бомба, настроен на Пятница, 13-е за все годы, кроме 1987 г.[3] После запуска вирус не только удаляет любую запущенную в этот день программу, но и удаляет ее.[4] но также неоднократно заражает файлы .EXE, пока они не станут слишком большими для компьютера.[5] Эта особенность, которая не была включена во все варианты Иерусалима, срабатывает через 30 минут после заражения системы, значительно замедляет работу зараженного компьютера, что упрощает обнаружение.[5][6] Иерусалим также известен как «Черный ящик» из-за черного ящика, который он отображает во время последовательности полезной нагрузки. Если система находится в текстовом режиме, Иерусалим создает небольшой черный прямоугольник от строки 5, столбца 5 до строки 16, столбца 16. Через 30 минут после активации вируса этот прямоугольник прокручивается на две строки вверх.[5]

В результате подключения вируса к прерыванию таймера низкого уровня, PC-XT системы замедляются до одной пятой от их нормальной скорости через 30 минут после установки вируса, хотя на более быстрых машинах это замедление менее заметно. Вирус содержит код, который входит в цикл обработки каждый раз, когда срабатывает тик таймера процессора.

Симптомы также включают самопроизвольное отключение рабочих станций от сети и создание больших буферизация принтера файлы. Отключение происходит из-за того, что Иерусалим использует низкоуровневые функции DOS 'прерывание 21h', которые Novell NetWare и другие сетевые реализации, необходимые для подключения к файловой системе.

Первоначально Иерусалим был очень распространен (для вируса дня) и породил большое количество разновидностей. Однако с появлением Windows, эти прерывания DOS больше не используются, поэтому Иерусалим и его варианты устарели.

Псевдонимы

  • 1808 (EXE) из-за длины вируса 1808 байт.
  • 1813 (COM) из-за длины вируса 1813 байт.[7]
  • Friday13th (Примечание: название может также относиться к двум вирусам, не имеющим отношения к Иерусалиму: Friday-13th-440 / Omega и Virus-B) из-за даты срабатывания пятницы 13-го.
  • Еврейский университет, как его открыли студенты, посещавшие Еврейский университет.[1]
  • Израильский
  • ООП, поскольку считали, что она была создана Организация Освобождения Палестины по случаю 13 мая 1948 года, накануне День Независимости Израиля, последний день существования Палестины как страны.[7]
  • русский
  • Суббота 14
  • sUMsDos, ссылаясь на фрагмент кода вируса.[7]

Варианты

  • Получить пароль 1 (GP1): Обнаруженный в 1991 г. Novell NetWare -специфический вирус пытается собрать пароли из оболочки NetWare DOS в памяти при входе пользователя в систему, которые затем транслируются на определенный номер сокета в сети, где сопутствующая программа может их восстановить. Этот вирус не работает с Novell 2.x и более новыми версиями.[5]
  • Вирусы Suriv: Вирусы, которые являются более ранними, более примитивными версиями Иерусалима. Считается, что иерусалимский вирус основан на Suriv-3, который представляет собой логическую бомбу, срабатывающую при наступлении даты. Пятница, 13-е, выключив компьютер 13 числа. Сам по себе Suriv-3 основан на своих предшественниках Suriv-1 и Suriv-2, которые представляют собой логические бомбы, срабатывающие при 1 апреля (День дурака ) с текстом «1 апреля, ха-ха, у вас вирус!».[3] Suriv-1 заражает файлы .COM, а Suriv-2 заражает файлы .EXE, а Suriv-3 заражает файлы обоих типов. Название этих вирусов происходит от написания «вирус» наоборот.[7]
  • Воскресенье (Иеру-Воскресенье): (Основная статья: Воскресенье (компьютерный вирус) ) Этот вирус увеличивает размер файлов на 1636 байт. Вариант предназначен для удаления каждой программы, поскольку она запускается каждое воскресенье, но программные ошибки предотвратить это. Каждое воскресенье вирус отображает следующее сообщение:

    Сегодня воскресенье! Почему ты так много работаешь? Всякая работа и никакие развлечения делают тебя скучным мальчиком! Ну давай же! Пойдем и повеселимся![5]

  • Варианты воскресенья
    • Воскресенье.а: Оригинальный воскресный вирус.
    • Воскресенье.b: Версия Sunday с функциональной функцией удаления программ.
    • Воскресенье.1.b: Улучшение Sunday.b, которое исправляет ошибку, касающуюся обработчика критических ошибок, которая вызывает проблемы на дисках, защищенных от записи.
    • Воскресенье 1. Напряженные секунды: Вариант Sunday.a, который поддерживает 10-секундную задержку между сообщениями и устанавливает воскресенье как день 0 вместо дня 7.
    • Воскресенье 2: Вариант Sunday.a, при котором файлы увеличиваются на 1733 байта вместо исходных 1636 байтов.
  • Анаргия: У Анаркии дата срабатывания - вторник, 13-е, и используется код самопознания «Анаргия».[8]
  • PSQR (1720 г.): PQSR заражает файлы .COM и .EXE, но не заражает файлы оверлеев или COMMAND.COM. В результате зараженные файлы .COM увеличиваются на 1720 байт, а файлы .EXE - на 1719–1733 байта. Он активируется в пятницу, 13-е, и удалит все файлы, запущенные в этот день. Мусор записывается в Главная загрузочная запись и девять секторов после MBR. Вирус использует «PQSR» в качестве кода самораспознавания.[9]
  • Фрер: Frère играет Фрер Жак по пятницам.[5] Он увеличивает размер зараженных файлов .COM на 1813 байт и файлов .EXE на 1 808–1822 байта, но не заражает COMMAND.COM.[10]
  • Westwood (Иерусалим-Вествуд): Вествуд заставляет файлы увеличиваться на 1829 байт. Если вирус резидентен в памяти, Westwood удаляет все файлы, запущенные во время Пятница, 13-е.[11]
  • Иерусалим 11-30: Этот вирус заражает .COM, .EXE и оверлейные файлы, но не COMMAND.COM. Вирус заражает программы по мере их использования и заставляет зараженные файлы .COM увеличиваться на 2 000 байт, а файлы .EXE - на 2 000–2014 байт. Однако, в отличие от исходного вируса Jerusalem, он не заражает файлы .EXE повторно.[12]
  • Иерусалим-Апокалипсис: Этот вирус, разработанный в Италии, заражает программы по мере их выполнения и вставляет текст «Апокалипсис !!» в зараженных файлах. В результате зараженные файлы .COM увеличиваются на 1813 байт, а .EXE - на 1808–1822 байта. Он может повторно заразить файлы .EXE и увеличит размер уже зараженных файлов .EXE на 1808 байт.[8]
  • Иерусалим-VT1: Если вирус резидентен в памяти, он удалит все файлы, запущенные во вторник 1-го числа.[8]
  • Иерусалим-T13: Вирус вызывает увеличение файлов .COM и .EXE на 1812 байт. Если вирус резидентен в памяти, он удалит все программы, запущенные во вторник 13-го числа.
  • Иерусалим-Сб13: Если вирус резидентен в памяти, он удалит все программы, запущенные в субботу 13-го числа.
  • Иерусалим-Чехия: Вирус заражает файлы .COM и .EXE, но не COMMAND.COM. В результате зараженные файлы .COM увеличиваются на 1735 байт, а файлы .EXE - на 1735–1749 байт. Он не удалит программы, запущенные в пятницу 13-го числа. Иерусалим-чешский имеет код самопознания и размещение кода, которые отличаются от исходного Иерусалима, и часто обнаруживается как вариант воскресенья.[8]
  • Иерусалим-Немезида: Этот вирус вставляет в зараженные файлы строки «NEMESIS.COM» и «NOKEY».[8]
  • Иерусалим-Капитан Поездки: Иерусалим-Captain Trips содержит строки «Captain Trips» и «SPITFIRE». Капитан Трипс - это название апокалиптической чумы, описанной в романе Стивена Кинга. Стойка. Если год - это любой год, отличный от 1990, а день - пятница 15-го числа или позже, Jerusalem-Captain Trips создает пустой файл с тем же именем, что и любая программа, запущенная в этот день. 16-го числа Иерусалим-Капитан Поездка перепрограммирует видеоконтроллер, а в несколько других дат он устанавливает процедуру в тикет таймера, который активируется по прошествии 15 минут. Иерусалим-Капитан Трипс имеет несколько ошибок.[8]
  • Иерусалим-J: Вариант приводит к увеличению файлов .COM на 1237 байт и файлов .EXE примерно на 1232 байта. Вирус не имеет "иерусалимского эффекта" и происходит от Гонконг.[5]
  • Иерусалим-желтый (растущий блок): Jerusalem-Yellow заражает файлы .EXE и .COM. Зараженные файлы .COM увеличиваются на 1363 байта, а файлы .EXE - на 1361–1375 байтов. Jerusalem-Yellow создает большой желтый прямоугольник с тенью в центре экрана, и компьютер зависает.[13]
  • Иерусалим, 25 января: Если вирус резидентен в памяти, он активируется 25 января и удалит все запущенные в этот день программы. Кроме того, он не заражает файлы .EXE повторно.[8]
  • Скизм: Вирус активируется в любую пятницу после 15-го числа месяца и заставляет зараженные файлы .COM увеличиваться на 1808 байт, а зараженные .EXE - на 1808–1822 байта. Кроме того, он может повторно заражать файлы .EXE.[8]
  • Карфилд (Джеру-Карфилд): Вирус заставляет зараженные файлы увеличиваться на 1508 байт. Если вирус резидентен в памяти и сегодня понедельник, компьютер отобразит строку "Carfield!" каждые 42 секунды.[14]
  • Мендоса (Иерусалим Мендоса): Вирус ничего не делает, если год 1980 или 1989, но для всех остальных лет устанавливается флаг, если вирус является резидентным в памяти и дискета количество двигателей равно 25. Флаг будет установлен, если программа запускается с дискеты. Если флаг установлен, каждая запущенная программа удаляется. Если флаг не установлен и прошло 30 минут, курсор меняется на блок. Через час Caps Lock, Nums Lock и Scroll Lock переключаются на «Выкл.». Кроме того, он не заражает файлы .EXE повторно.[8]
  • Эйнштейн: Это небольшой вариант, всего 878 байт, заражает файлы .EXE.[5]
  • Монтесума: Этот вариант вируса имеет размер 2228 байт и зашифрован.[5]
  • Век: Этот вариант представляет собой логическую бомбу с датой срабатывания 1 января 2000 года, на которой должно было отображаться сообщение «Добро пожаловать в 21 век». Однако никто не уверен в легитимности вируса, так как никто его не видел.[5]
  • Дунай: Дунайский вирус - это уникальный вариант Иерусалима, поскольку он развился за пределы Иерусалима и отражает лишь очень немногие его части. Этот вирус является многосторонний вирус, поэтому у него есть несколько способов заражения и распространения: загрузочные секторы диска, а также файлы .COM и .EXE. Из-за этого то, как работает вирус, зависит от его происхождения (загрузочный сектор или программа). Когда выполняется зараженная программа, вирус находится в памяти, занимая 5 кБ. Кроме того, он проверит, находится ли он также в активном загрузочном секторе, и поместит туда свою копию, если ее раньше не было. Когда компьютер загружается с зараженного загрузочного сектора / диска, вирус помещается в память еще до загрузки операционной системы. Он резервирует 5 кБ базовой памяти DOS и резервирует 5 секторов на любом зараженном диске.[5]
  • HK: Этот вариант Иерусалима происходит от Гонконг, и ссылается на одну из технических школ Гонконга в своем кодексе.[5]
  • Иерусалим-1767: Этот вирус заражает файлы .EXE и .COM, а также заражает COMMAND.COM при запуске. В результате файлы .COM увеличиваются на 1767 байт, а .EXE - на 1767–1799 байт. Зараженные файлы содержат строки «** INFECTED BY FRIDAY 13 ** **» или «COMMAND.COM».[15]
  • Иерусалим-1663: Этот вирус заражает файлы .EXE и .COM, в том числе COMMAND.COM. Резидентно в памяти заражает программы по мере их запуска. Он приводит к увеличению размера файлов .COM и .EXE на 1663 байта, но не может распознавать зараженные файлы, поэтому может повторно заразить файлы .COM и .EXE.[16]
  • Иерусалим-Хайфа: Этот вирус заражает файлы .EXE и .COM, но не COMMAND.COM. В результате файлы .COM увеличиваются на 2178 байтов, а файлы .EXE - на 1960–1974 байта. Его название происходит от еврейского слова, означающего Хайфа, израильский город, находящийся в коде вируса.[17]
  • Феном: Этот вирус похож на вариант Апокалипсиса, но заражает COMMAND.COM. Он активируется только по субботам и не позволяет пользователю запускать программы. В нем есть строки «PHENOME.COM» и «MsDos».[8]

Смотрите также

Рекомендации

  1. ^ а б "מבט לאחור: הווירוס הישראלי הראשון". ynet (на иврите). 2006-02-02. Получено 2019-03-10.
  2. ^ "Иерусалим". ESET. Получено 9 февраля 2013.
  3. ^ а б "Эпизод 35 - Иерусалимский вирус - Подкаст вредоносной жизни". Вредоносная жизнь. Получено 2019-03-10.
  4. ^ "Иерусалим, 1808 год". www.symantec.com. Получено 2019-03-10.
  5. ^ а б c d е ж грамм час я j k л "Описание Иерусалима | F-Secure Labs". www.f-secure.com. Получено 2019-03-10.
  6. ^ «ИЕРУСАЛИМ - Энциклопедия угроз - Trend Micro US». www.trendmicro.com. Получено 2019-03-27.
  7. ^ а б c d DaBoss (27 февраля 2013 г.). "Глава 6 Лихай / Иерусалим". Знание компьютера. Получено 2019-03-10.
  8. ^ а б c d е ж грамм час я j «Интернет ВСУМ - Иерусалимский вирус». wiw.org. Получено 2019-03-27.
  9. ^ «Онлайн ВСУМ - 1720 Вирус». wiw.org. Получено 2019-03-27.
  10. ^ «Интернет VSUM - Frere Jacques Virus». wiw.org. Получено 2019-03-27.
  11. ^ «Интернет VSUM - Westwood Virus». wiw.org. Получено 2019-03-27.
  12. ^ «Интернет ВСУМ - Иерусалим 11-30 Вирус». wiw.org. Получено 2019-03-27.
  13. ^ «Онлайн ВСУМ - вирус растущего блока». wiw.org. Получено 2019-03-27.
  14. ^ «ИЕРУСАЛИМ-10 - Энциклопедия угроз - Trend Micro US». www.trendmicro.com. Получено 2019-03-27.
  15. ^ "Интернет VSUM - Иерусалим 1767 Вирус". wiw.org. Получено 2019-03-27.
  16. ^ «Интернет VSUM - Иерусалим 1663 Вирус». wiw.org. Получено 2019-03-27.
  17. ^ «Интернет ВСУМ - Иерусалим-Хайфа Вирус». wiw.org. Получено 2019-03-27.

внешняя ссылка