Jump to content

Иерусалим (компьютерный вирус)

Иерусалим
Псевдоним
  • Арабская звезда
  • Пятница, 13-е
  • Израильский
Тип Компьютерный вирус
Классификация Неизвестный
Технические детали
Платформа ПРИНАДЛЕЖАЩИЙ

Иерусалим — это вирус логической бомбы DOS- , впервые обнаруженный в Еврейском университете Иерусалима в октябре 1987 года. [1] При заражении иерусалимский вирус становится резидентным в памяти (используя 2 КБ памяти), а затем заражает каждый запускаемый исполняемый файл, за исключением COMMAND.COM . [2] COM-файлы увеличиваются на 1813 байт при заражении Иерусалимом и не заражаются повторно. Исполняемые файлы увеличиваются на 1808–1823 байта каждый раз при заражении, а затем повторно заражаются при каждой загрузке файлов, пока не станут слишком большими для загрузки в память. Некоторые файлы .EXE заражены, но не растут, поскольку за подлинным файлом .EXE в том же файле следует несколько наложений. Иногда файлы .EXE заражаются неправильно, из-за чего программа не запускается сразу после запуска.

Сам код вируса и подключается к обработке прерываний другим низкоуровневым службам DOS . Например, код вируса подавляет вывод консольных сообщений, если, скажем, вирус не может заразить файл на устройстве только для чтения, таком как дискета . Одним из признаков заражения компьютера является неправильное написание с заглавной буквы известного сообщения « Неверная команда или имя файла » как «Неверная команда или имя файла».

Иерусалимский вирус уникален среди других вирусов того времени, поскольку он представляет собой логическую бомбу , которая должна взорваться в пятницу 13-го числа во все годы, кроме 1987 года (первая дата активации — 13 мая 1988 года). [3] После запуска вирус не только удаляет любую программу, запущенную в этот день, [4] но также неоднократно заражает файлы .EXE, пока они не становятся слишком большими для компьютера. [5] Эта конкретная функция, которая не была включена во все варианты Иерусалима, срабатывает через 30 минут после заражения системы, значительно замедляет работу зараженного компьютера, что упрощает обнаружение. [5] [6] Иерусалим также известен как «Черный ящик» из-за черного ящика, который отображается во время загрузки. Если система находится в текстовом режиме, Иерусалим создает небольшой черный прямоугольник от строки 5, столбец 5 до строки 16, столбец 16. Через тридцать минут после активации вируса этот прямоугольник прокручивается на две строки вверх. [5]

В результате подключения вируса к прерыванию таймера низкого уровня скорость систем PC-XT снижается до одной пятой от их нормальной скорости через 30 минут после установки вируса, хотя на более быстрых машинах это замедление менее заметно. Вирус содержит код, который входит в цикл обработки каждый раз, когда активируется таймер процессора.

Симптомы также включают самопроизвольное отключение рабочих станций от сети и создание больших файлов буферизации принтера . Отключения происходят, поскольку Иерусалим использует « прерывание 21h низкоуровневые функции DOS », которые Novell NetWare и другие сетевые реализации необходимы для подключения к файловой системе.

Первоначально Иерусалим был очень распространенным (для вируса того времени) и породил большое количество вариантов. Однако с появлением Windows эти прерывания DOS больше не используются, поэтому Иерусалим и его варианты устарели.

Псевдонимы

[ редактировать ]
  • 1808(EXE), поскольку длина вируса составляет 1808 байт.
  • 1813(COM) из-за длины вируса 1813 байт. [7]
  • Пятница, 13-е (Примечание: название может также относиться к двум вирусам, не связанным с Иерусалимом: Friday-13th-440/Omega и Virus-B), поскольку дата его срабатывания — пятница, 13-е.
  • Еврейский университет, как его обнаружили студенты, посещавшие Еврейский университет. [1]
  • Израильский
  • ООП, поскольку считалось, что она была создана Организацией освобождения Палестины в ознаменование 13 мая 1948 года, за день до Дня независимости Израиля , очевидно, в последний день существования Палестины как страны. [7]
  • Русский
  • Суббота 14
  • sUMsDos, ссылающийся на фрагмент кода вируса. [7]

Варианты

[ редактировать ]
  • Получить пароль 1 (GP1): Обнаруженный в 1991 году, этот вирус, специфичный для Novell NetWare, пытается собрать пароли из оболочки NetWare DOS в памяти при входе пользователя в систему, которые затем транслирует их на определенный номер сокета в сети, где сопутствующая программа может их восстановить. их. Этот вирус не работает на Novell 2.x и более поздних версиях. [5]
  • Вирусы Suriv: Вирусы, которые являются более ранними, более примитивными версиями Иерусалима. Считается, что иерусалимский вирус основан на Suriv-3, логической бомбе, срабатывающей в пятницу 13-го числа и выключающей компьютер 13-го числа. Сам по себе Suriv-3 основан на своих предшественниках Suriv-1 и Suriv-2, которые представляют собой логические бомбы, срабатывающие 1 апреля ( День дурака ), с текстом «1 апреля, ха-ха, у вас есть вирус!» . [3] Suriv-1 заражает файлы .COM, Suriv-2 заражает файлы .EXE, а Suriv-3 заражает оба типа файлов. Название этих вирусов происходит от написания слова «вирус» наоборот. [7]
  • Воскресенье (Иеру-воскресенье): (Основная статья: Воскресенье (компьютерный вирус) ) Этот вирус увеличивает размер файлов на 1636 байт. Этот вариант предназначен для удаления всех программ, которые запускаются каждое воскресенье, но из-за ошибок в программном обеспечении этого не происходит. Каждое воскресенье вирус отображает следующее сообщение:

    Сегодня воскресенье! Почему ты так много работаешь? Вся работа и отсутствие игр делают тебя скучным мальчиком! Ну давай же! Давайте выйдем и повеселимся! [5]

  • Варианты воскресенья
    • Sunday.a: оригинальный воскресный вирус.
    • Sunday.b: версия Sunday с функциональной функцией удаления программ.
    • Sunday.1.b: улучшение Sunday.b, исправляющее ошибку в обработчике критических ошибок, вызывающую проблемы на дисках, защищенных от записи.
    • Sunday.1.Ten Seconds: вариант Sunday.a, который поддерживает 10-секундную задержку между сообщениями и устанавливает воскресенье как день 0 вместо дня 7.
    • Sunday.2: вариант Sunday.a, который увеличивает размер файлов на 1733 байта вместо исходных 1636 байт.
  • Анаркиа: Анаркиа имеет дату срабатывания — вторник, 13-е, и использует код самопознания «Анаркиа». [8]
  • PSQR (1720): PQSR заражает файлы .COM и .EXE, но не заражает файлы наложения или COMMAND.COM. Это приводит к увеличению размера зараженных файлов .COM на 1720 байт, а файлов .EXE – на 1719–1733 байт. Он активируется в пятницу 13-го и удалит любой файл, запущенный в этот день. Мусор записывается в главную загрузочную запись и девять секторов после MBR. Вирус использует «PQSR» в качестве кода самораспознавания, который находится в конце файла. [9]
  • Брат: Брат играет Брата Жака по пятницам. [5] Увеличивает размер зараженных файлов .COM на 1813 байт и файлов .EXE на 1808–1822 байта, но не заражает COMMAND.COM. [10]
  • Вествуд (Иерусалим-Вествуд): Вествуд увеличивает размер файлов на 1829 байт. Если вирус является резидентным в памяти, Вествуд удаляет любой файл, запущенный в пятницу 13-го . [11]
  • Иерусалим 11-30: Этот вирус заражает файлы .COM, .EXE и файлы оверлеев, но не COMMAND.COM. Вирус заражает программы по мере их использования и приводит к увеличению размера зараженных файлов .COM на 2000 байт и файлов .EXE на 2000–2014 байт. Однако, в отличие от оригинального вируса «Иерусалим», он не заражает повторно файлы .EXE. [12]
  • Иерусалим-Апокалипсис: Этот вирус, разработанный в Италии, заражает программы во время их выполнения и вставляет текст «Апокалипсис!!» в зараженных файлах. Это приводит к увеличению размера зараженных файлов .COM на 1813 байт, а размера .EXE — на 1808–1822 байта. Он может повторно заражать файлы .EXE и увеличивать размер уже зараженных файлов .EXE на 1808 байт. [8]
  • Иерусалим-VT1: Если вирус является резидентным, он удалит любой файл, запущенный во вторник 1-го числа. [8]
  • Иерусалим-T13: Вирус приводит к увеличению размера файлов .COM и .EXE на 1812 байт. Если вирус является резидентным, он удалит любую программу, запущенную во вторник 13-го числа.
  • Иерусалим-Сб13: Если вирус является резидентным, он удалит любую программу, запущенную в субботу 13-го.
  • Иерусалим-Чехия: вирус заражает файлы .COM и .EXE, но не COMMAND.COM. Это приводит к увеличению размера зараженных файлов .COM на 1735 байт, а файлов .EXE — на 1735–1749 байт. Он не удалит программы, запущенные в пятницу 13-го. Иерусалим-Чешский имеет код самоопознания и размещение кода, которые отличаются от исходного Иерусалима и часто определяются как воскресный вариант. [8]
  • Иерусалим-Немезида: этот вирус вставляет в зараженные файлы строки «NEMESIS.COM» и «NOKEY». [8]
  • Иерусалим-Капитан Трипс: Иерусалим-Капитан Трипс содержит строки «Капитан Трипс» и «SPITFIRE». Капитан Трипс — это название апокалиптической чумы, описанной в романе Стивена Кинга « Противостояние» . Если год — любой год, кроме 1990, и день — пятница 15-го числа или после него, Иерусалим-Капитан Трипс создает пустой файл с тем же именем, что и любая программа, запущенная в этот день. В 16-й рейс «Иерусалим-Капитан» перепрограммирует видеоконтроллер , а в несколько других дней он устанавливает в таймере процедуру, которая активируется по прошествии 15 минут. Иерусалим-Капитан Трипс имеет несколько ошибок. [8]
  • Иерусалим-J: В этом варианте файлы .COM увеличиваются на 1237 байт, а файлы .EXE — примерно на 1232 байта. Вирус не имеет «эффекта Иерусалима» и происходит из Гонконга . [5]
  • Иерусалим-Желтый (растущий блок): Иерусалим-Желтый заражает файлы .EXE и .COM. Зараженные файлы .COM растут на 1363 байта, а файлы .EXE – на 1361–1375 байт. Иерусалим-Желтый создает большую желтую рамку с тенью посередине экрана, и компьютер зависает. [13]
  • Иерусалим, 25 января: Если вирус является резидентным, он активируется 25 января и удалит любую программу, запущенную в этот день. Кроме того, он не заражает повторно файлы .EXE. [8]
  • Skism: вирус активируется в любую пятницу после 15-го числа месяца и приводит к увеличению размера зараженных файлов .COM на 1808 байт, а зараженных файлов .EXE — на 1808–1822 байта. Кроме того, он может повторно заразить файлы .EXE. [8]
  • Карфилд (Джеру-Карфилд): вирус приводит к увеличению размера зараженных файлов на 1508 байт. Если вирус резидентен в памяти и день понедельник, компьютер отобразит строку «Carfield!» каждые 42 секунды. [14]
  • Мендоса (Иерусалим Мендоса): Вирус ничего не делает, если год 1980 или 1989, но для всех остальных лет флаг устанавливается, если вирус является резидентным в памяти и если количество двигателей гибких дисков равно 25. Флаг будет установлен, если программа запускается с дискеты. Если флаг установлен, каждая запущенная программа удаляется. Если флаг не установлен и прошло 30 минут, курсор меняется на блок. Через час Caps Lock, Nums Lock и Scroll Lock переключаются в положение «Выкл.». Кроме того, он не заражает повторно файлы .EXE. [8]
  • Эйнштейн: Это небольшой вариант, всего 878 байт, который заражает файлы .EXE. [5]
  • Моктесума: Этот вариант вируса имеет размер 2228 байт и зашифрован. [5]
  • Век: Этот вариант представляет собой логическую бомбу с датой срабатывания 1 января 2000 года, которая должна была отображать сообщение «Добро пожаловать в 21 век». Однако никто не уверен в легитимности вируса, поскольку никто его не видел. [5]
  • Дунай: Дунайский вирус представляет собой уникальный вариант Иерусалима, поскольку он вышел за пределы Иерусалима и отражает лишь очень немногие его части. Этот вирус является многочастным , поэтому он может заразиться и распространиться несколькими способами: загрузочные сектора диска, а также файлы .COM и .EXE. По этой причине работа вируса зависит от его происхождения (загрузочный сектор или программа). При запуске зараженной программы вирус остается в памяти, занимая 5 КБ. Кроме того, он проверит, находится ли он также в активном загрузочном секторе, и поместит туда свою копию, если ее раньше не было. Когда компьютер загружается с зараженного загрузочного сектора/диска, вирус помещается в память еще до загрузки операционной системы. Он резервирует 5 КБ базовой памяти DOS и 5 секторов на любом заражаемом диске. [5]
  • ГК: Этот вариант Иерусалима происходит из Гонконга и в своем кодексе ссылается на одну из технических школ Гонконга. [5]
  • Иерусалим-1767: Этот вирус заражает файлы .EXE и .COM, а также заражает COMMAND.COM, если он запускается. Это приводит к увеличению размера файлов .COM на 1767 байт, а размера .EXE — на 1767–1799 байт. Зараженные файлы содержат строки «**INFECTED BY FRIDAY 13th**» или «COMMAND.COM». [15]
  • Иерусалим-1663: Этот вирус заражает файлы .EXE и .COM, включая COMMAND.COM. Поселившись в памяти, он заражает программы во время их запуска. Он приводит к увеличению размера файлов .COM и .EXE на 1663 байта, но не может распознать зараженные файлы, поэтому может повторно заразить файлы .COM и .EXE. [16]
  • Иерусалим-Хайфа: этот вирус заражает файлы .EXE и .COM, но не COMMAND.COM. Это приводит к увеличению размера файлов .COM на 2178 байт, а файлов .EXE — на 1960–1974 байт. Его название связано с еврейским словом, обозначающим Хайфу , израильский город, присутствующим в коде вируса. [17]
  • Феном: Этот вирус похож на вариант Апокалипсиса, но заражает COMMAND.COM. Он активируется только по субботам и не позволяет пользователю запускать программы. Он содержит строки «PHENOME.COM» и «MsDos». [8]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Jump up to: а б Шломи, Рой (2 февраля 2006 г.). «Оглядываясь назад: первый израильский вирус» . йнет (на иврите) . Проверено 10 марта 2019 г.
  2. ^ «Иерусалим» . ЭСЕТ . Проверено 9 февраля 2013 г.
  3. ^ Jump up to: а б «Эпизод 35 — Иерусалимский вирус — Подкаст Malicious Life» . Злая жизнь . Проверено 10 марта 2019 г.
  4. ^ «Иерусалим, 1808 год» . Симантек . Архивировано из оригинала 3 апреля 2019 года . Проверено 10 марта 2019 г.
  5. ^ Jump up to: а б с д и ж г час я дж к л «Описание Иерусалима | F-Secure Labs» . www.f-secure.com . Проверено 10 марта 2019 г.
  6. ^ «ИЕРУСАЛИМ — Энциклопедия угроз — Trend Micro US» . www.trendmicro.com . Проверено 27 марта 2019 г.
  7. ^ Jump up to: а б с д ДаБосс (27 февраля 2013 г.). «Глава 6 Лихай/Иерусалим» . Знание компьютера . Проверено 10 марта 2019 г.
  8. ^ Jump up to: а б с д и ж г час я дж «Онлайн ВСУМ — Иерусалимский вирус» . wiw.org Проверено 27 марта 2019 г.
  9. ^ «Онлайн ВСУМ — Вирус 1720» . wiw.org Проверено 27 марта 2019 г.
  10. ^ «Онлайн ВСУМ — Frare Jacques Virus» . wiw.org Проверено 27 марта 2019 г.
  11. ^ «Онлайн ВСУМ — Вирус Вествуд» . wiw.org Проверено 27 марта 2019 г.
  12. ^ «Онлайн ВСУМ — Вирус Иерусалим 11-30» . wiw.org Проверено 27 марта 2019 г.
  13. ^ «Онлайн-ВСУМ — вирус растущего блока» . Wiw.org . Проверено 27 марта 2019 г.
  14. ^ «ИЕРУСАЛИМ-10 — Энциклопедия угроз — Trend Micro US» . www.trendmicro.com . Проверено 27 марта 2019 г.
  15. ^ «Онлайн ВСУМ — Вирус Иерусалим 1767» . wiw.org Проверено 27 марта 2019 г.
  16. ^ «Онлайн ВСУМ — Вирус Иерусалим 1663» . wiw.org Проверено 27 марта 2019 г.
  17. ^ «Онлайн ВСУМ — Иерусалим-Хайфский вирус» . wiw.org Проверено 27 марта 2019 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Jerusalem_(computer_virus)&oldid=1230049786"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 8cf92f7140cfeb8de9a203a29a96dbee__1718863800
URL1:https://arc.ask3.ru/arc/aa/8c/ee/8cf92f7140cfeb8de9a203a29a96dbee.html
Заголовок, (Title) документа по адресу, URL1:
Jerusalem (computer virus) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)