A Jeruzsálem egy logikai bombával rendelkező számítógépes vírus , amelyet először a jeruzsálemi Héber Egyetemen fedeztek fel 1987 októberében [1] . Amikor megfertőződik , a vírus 2 KB memóriát használva rezidenssé válik, majd elindításakor minden végrehajtható fájlt megfertőz, kivéve a COMMAND.COM [2] fájlt . A COM-fájlok 1813 bájttal nőnek, ha vírussal fertőződnek meg, és nem fertőződnek meg újra. Az EXE fájlok 1808-1823 bájttal nőnek minden fertőzéskor, majd minden egyes futáskor újrafertőződnek, amíg túl nagyok nem lesznek a memóriába való betöltéshez. Egyes fertőzött .EXE fájlok mérete nem nő. Néha az EXE fájlok megsérülnek a fertőzés után, aminek következtében a program azonnal összeomlik vagy lefagy az indítás után.
A Jerusalem vírus kódja megszakításokat (int) és az MS-DOS operációs rendszer egyéb alacsony szintű szolgáltatásait használja . Például egy vírus elnyomja a konzol kimenetét, ha nem tud megfertőzni egy fájlt egy írásvédett eszközön, például hajlékonylemezen . A számítógép fertőzésének egyik jele a nagy B betű hiánya a jól ismert „Rossz parancs vagy fájlnév” rendszerüzenetben.
A jeruzsálemi vírus egyedülálló a többi korabeli vírus között, mivel a logikai bombának 1987 kivételével minden naptári évben , péntek 13 - án kellett volna felrobbannia [3] . A vírus elindítása után nemcsak az összes, aznap futó programot töröl [4] , hanem többször megfertőzi az EXE fájlokat is, amíg azok meg nem haladják a számítógép számára megengedett maximális méretet [5] . Ez a szolgáltatás, amely Jeruzsálem összes módosításában nem szerepelt, a rendszer fertőzése után 30 perccel működik, ami jelentősen lelassítja a fertőzött számítógépet, és megkönnyíti a vírus észlelését [5] [6] . Jeruzsálemet „fekete doboznak” is nevezik, a működése közben megjelenített vizuális hatás miatt. Ha a rendszer szöveges módban van, a vírus egy kis fekete téglalapot hoz létre az 5. sor 5. oszlopától a 16. sorig, a 16. oszlopig. Harminc perccel a vírus aktiválása után ez a téglalap két sorral feljebb gördül [5] .
Ha egy vírust egy alacsony szintű időzítő megszakításhoz csatlakoztatunk a PC/XT rendszeren , az a rendszerindítás után 30 perccel a normál sebesség egyötödére lassul, bár a lassulás kevésbé észrevehető a gyorsabb gépeken. A vírus olyan kódot tartalmaz, amely a processzor időzítőjének minden egyes aktiválásakor belép a feldolgozási hurokba.
A fertőzés tünetei közé tartozik a munkaállomások spontán leválasztása a helyi hálózatról és nagy fájlok létrehozása a nyomtató nyomtatási sorában. A kapcsolat megszakad a vírus által alkalmazott alacsony szintű DOS int 21h megszakítások miatt, amelyek Novell NetWare -t és más hálózati implementációkat használnak a fájlrendszerhez való csatlakozáshoz.
Kezdetben Jeruzsálem nagyon elterjedt volt a korabeli számítógépes vírusok között, és számos változatot eredményezett. A Windows megjelenése óta azonban a vírus által használt DOS-megszakítások már nem aktiválódnak, így Jeruzsálem és módosításai elavultak és nem működnek.
| 1980-as évek hack támadásai | |
|---|---|
| Számítógépes vírusok | |
| 1980 -as évek • 1990 -es évek | |