Jerusalem — компьютерный вирус с логической бомбой, впервые обнаруженный в Еврейском университете Иерусалима в октябре 1987 года[1]. При заражении вирус становится резидентным, используя 2 КБ памяти, а затем заражает каждый исполняемый файл при его запуске, за исключением COMMAND.COM[2]. COM-файлы увеличиваются на 1813 байт при заражении вирусом и повторно не заражаются. EXE-файлы при каждом заражении увеличиваются на 1808—1823 байта, а затем повторно заражаются при каждом запуске, пока они не станут слишком большими для загрузки в память. Некоторые инфицированные .EXE-файлы не увеличиваются в размере. Иногда EXE-файлы повреждаются после заражения, что приводит к сбою или зависанию программы сразу после её запуска.
Вирусный код Jerusalem использует прерывания (int) и другие низкоуровневые функции операционной системы MS-DOS. Например, вирусом подавляется вывод консольных сообщений, если он не может заразить файл на устройстве только для чтения, например, дискете. Одним из признаков заражения компьютера является отсутствие заглавной буквы B в известном системном сообщении «Bad command or file name».
Вирус Jerusalem является уникальным среди других вирусов того времени, поскольку логическая бомба должна была сработать в пятницу 13-го числа во всех календарных годах, кроме 1987 года[3]. После запуска вирус не только удаляет все программы, запущенные в этот день[4], но также несколько раз заражает EXE-файлы, пока их размер не превысит максимально допустимый для компьютера[5]. Эта особенность, которая не была включена во все модификации Jerusalem, срабатывает через 30 минут после заражения системы, что значительно замедляет работу зараженного компьютера и облегчает обнаружение вируса[5][6]. Jerusalem также известен как «Черный ящик» из-за визуального эффекта, который он отображает во время своей работы. Если система находится в текстовом режиме, вирус создает маленький чёрный прямоугольник из строки 5, столбца 5 в строку 16, столбец 16. Через тридцать минут после активации вируса этот прямоугольник прокручивается вверх на две строки[5].
В результате подключения вируса к низкоуровневому прерыванию таймера системы PC/XT через 30 минут после загрузки происходит замедление её работы до одной пятой от нормальной скорости, хотя на более быстрых машинах замедление не так заметно. Вирус содержит код, который входит в цикл обработки каждый раз, когда активируется таймер процессора.
Симптомы заражения также включают в себя самопроизвольное отключение рабочих станций от локальной сети и создание больших файлов в очереди печати принтера. Разрывы соединения происходят из-за использования вирусом низкоуровневых прерываний DOS int 21h, которые для подключения к файловой системе задействуют Novell NetWare и другие сетевые реализации.
Изначально Jerusalem был очень распространён среди компьютерных вирусов того времени, породив большое количество вариантов. Однако с момента появления Windows больше не задействуются прерывания DOS, используемые вирусом, поэтому Jerusalem и его модификации устарели и не работают.
Примечания
править- ↑ מבט לאחור: הווירוס הישראלי הראשון (ивр.). ynet (2 февраля 2006). Дата обращения: 10 марта 2019. Архивировано 6 февраля 2006 года.
- ↑ Jerusalem . ESET. Дата обращения: 9 февраля 2013. Архивировано 6 июня 2020 года.
- ↑ Episode 35 — The Jerusalem Virus — Malicious Life Podcast . Malicious Life. Дата обращения: 10 марта 2019. Архивировано 3 апреля 2019 года.
- ↑ Jerusalem,1808 . www.symantec.com. Дата обращения: 10 марта 2019. Архивировано 3 апреля 2019 года.
- ↑ 1 2 3 Jerusalem Description | F-Secure Labs (англ.). www.f-secure.com. Дата обращения: 10 марта 2019. Архивировано 27 января 2001 года.
- ↑ JERUSALEM — Threat Encyclopedia — Trend Micro US . www.trendmicro.com. Дата обращения: 27 марта 2019. Архивировано 27 марта 2019 года.
Ссылки
править- Jerusalem’s rise and fall, chapter in an IBM virus research report
- Anti-Virus company Sophos description on the Jerusalem virus
- Anti-Virus company Network Associates description on the Jerusalem virus
- Jerusalem.1808
- [web.archive.org/web/20130117101558/http://antivirus.about.com/cs/virusencyclopedia/p/jerusalem.htm Jerusalem virus]
Некоторые внешние ссылки в этой статье ведут на сайты, занесённые в спам-лист |