Jerusalem (компьютерный вирус) (Jerusalem (tkbh,Zmyjudw fnjrv))

Перейти к навигации Перейти к поиску

Jerusalem — компьютерный вирус с логической бомбой, впервые обнаруженный в Еврейском университете Иерусалима в октябре 1987 года[1]. При заражении вирус становится резидентным, используя 2 КБ памяти, а затем заражает каждый исполняемый файл при его запуске, за исключением COMMAND.COM[2]. COM-файлы увеличиваются на 1813 байт при заражении вирусом и повторно не заражаются. EXE-файлы при каждом заражении увеличиваются на 1808—1823 байта, а затем повторно заражаются при каждом запуске, пока они не станут слишком большими для загрузки в память. Некоторые инфицированные .EXE-файлы не увеличиваются в размере. Иногда EXE-файлы повреждаются после заражения, что приводит к сбою или зависанию программы сразу после её запуска.

Вирусный код Jerusalem использует прерывания (int) и другие низкоуровневые функции операционной системы MS-DOS. Например, вирусом подавляется вывод консольных сообщений, если он не может заразить файл на устройстве только для чтения, например, дискете. Одним из признаков заражения компьютера является отсутствие заглавной буквы B в известном системном сообщении «Bad command or file name».

Вирус Jerusalem является уникальным среди других вирусов того времени, поскольку логическая бомба должна была сработать в пятницу 13-го числа во всех календарных годах, кроме 1987 года[3]. После запуска вирус не только удаляет все программы, запущенные в этот день[4], но также несколько раз заражает EXE-файлы, пока их размер не превысит максимально допустимый для компьютера[5]. Эта особенность, которая не была включена во все модификации Jerusalem, срабатывает через 30 минут после заражения системы, что значительно замедляет работу зараженного компьютера и облегчает обнаружение вируса[5][6]. Jerusalem также известен как «Черный ящик» из-за визуального эффекта, который он отображает во время своей работы. Если система находится в текстовом режиме, вирус создает маленький чёрный прямоугольник из строки 5, столбца 5 в строку 16, столбец 16. Через тридцать минут после активации вируса этот прямоугольник прокручивается вверх на две строки[5].

В результате подключения вируса к низкоуровневому прерыванию таймера системы PC/XT через 30 минут после загрузки происходит замедление её работы до одной пятой от нормальной скорости, хотя на более быстрых машинах замедление не так заметно. Вирус содержит код, который входит в цикл обработки каждый раз, когда активируется таймер процессора.

Симптомы заражения также включают в себя самопроизвольное отключение рабочих станций от локальной сети и создание больших файлов в очереди печати принтера. Разрывы соединения происходят из-за использования вирусом низкоуровневых прерываний DOS int 21h, которые для подключения к файловой системе задействуют Novell NetWare и другие сетевые реализации.

Изначально Jerusalem был очень распространён среди компьютерных вирусов того времени, породив большое количество вариантов. Однако с момента появления Windows больше не задействуются прерывания DOS, используемые вирусом, поэтому Jerusalem и его модификации устарели и не работают.

Примечания

[править | править код]
  1. מבט לאחור: הווירוס הישראלי הראשון (ивр.). ynet (2 февраля 2006). Дата обращения: 10 марта 2019. Архивировано 6 февраля 2006 года.
  2. Jerusalem. ESET. Дата обращения: 9 февраля 2013. Архивировано 6 июня 2020 года.
  3. Episode 35 — The Jerusalem Virus — Malicious Life Podcast. Malicious Life. Дата обращения: 10 марта 2019. Архивировано 3 апреля 2019 года.
  4. Jerusalem,1808. www.symantec.com. Дата обращения: 10 марта 2019. Архивировано 3 апреля 2019 года.
  5. 1 2 3 Jerusalem Description | F-Secure Labs (англ.). www.f-secure.com. Дата обращения: 10 марта 2019. Архивировано 27 января 2001 года.
  6. JERUSALEM — Threat Encyclopedia — Trend Micro US. www.trendmicro.com. Дата обращения: 27 марта 2019. Архивировано 27 марта 2019 года.