Ierusalimul este un virus informatic cu o bombă logică , descoperit pentru prima dată la Universitatea Ebraică din Ierusalim în octombrie 1987 [1] . Când este infectat , virusul devine rezident, folosind 2 KB de memorie și apoi infectează fiecare fișier executabil când este lansat, cu excepția COMMAND.COM [2] . Fișierele COM cresc cu 1813 de octeți atunci când sunt infectate cu un virus și nu sunt reinfectate. Fișierele EXE cresc cu 1808-1823 de octeți la fiecare infecție și apoi se reinfectează de fiecare dată când rulează până când sunt prea mari pentru a fi încărcate în memorie. Unele fișiere .EXE infectate nu cresc în dimensiune. Uneori, fișierele EXE devin corupte după ce au fost infectate, ceea ce face ca programul să se prăbușească sau să se blocheze imediat după lansare.
Codul virusului Jerusalem folosește întreruperi (int) și alte caracteristici de nivel scăzut ale sistemului de operare MS-DOS . De exemplu, un virus suprimă ieșirea consolei dacă nu poate infecta un fișier de pe un dispozitiv numai pentru citire, cum ar fi o dischetă . Unul dintre semnele infecției computerului este absența literei majuscule B în binecunoscutul mesaj de sistem „Bad command or file name”.
Virusul Ierusalim este unic printre alți viruși ai vremii prin aceea că bomba logică trebuia să declanșeze vineri, 13, în toți anii calendaristici, cu excepția anului 1987 [3] . Odată lansat, virusul nu numai că șterge toate programele care rulează în acea zi [4] , dar infectează și fișierele EXE de mai multe ori până când acestea depășesc dimensiunea maximă permisă pentru computer [5] . Această caracteristică, care nu a fost inclusă în toate modificările Ierusalimului, funcționează la 30 de minute după ce sistemul este infectat, ceea ce încetinește semnificativ computerul infectat și facilitează detectarea virusului [5] [6] . Ierusalimul este cunoscut și sub numele de „Cutia Neagră” datorită efectului vizual pe care îl afișează în timpul funcționării sale. Dacă sistemul este în modul text, virusul creează un mic dreptunghi negru de la linia 5, coloana 5 la linia 16, coloana 16. La treizeci de minute după activarea virusului, acest dreptunghi derulează în sus două rânduri [5] .
Conectarea unui virus la o întrerupere a temporizatorului de nivel scăzut pe sistemul PC/XT îl încetinește la o cincime din viteza sa normală la 30 de minute după pornire, deși încetinirea este mai puțin vizibilă pe mașinile mai rapide. Virusul conține cod care intră în bucla de procesare de fiecare dată când este activat temporizatorul procesorului.
Simptomele de infecție includ, de asemenea, deconectarea spontană a stațiilor de lucru de la rețeaua locală și crearea de fișiere mari în coada de imprimare a imprimantei. Întreruperea conexiunii apar din cauza utilizării de către virus a unor întreruperi DOS int 21h de nivel scăzut, care utilizează Novell NetWare și alte implementări de rețea pentru a se conecta la sistemul de fișiere.
Inițial, Ierusalimul era foarte răspândit printre virușii informatici ai vremii, dând naștere unui număr mare de variante. Cu toate acestea, de la apariția Windows , întreruperile DOS utilizate de virus nu mai sunt activate, așa că Jerusalem și modificările sale sunt depășite și nu funcționează.
| Atacurile hack din anii 1980 | |
|---|---|
| Virușii informatici | |
| anii 1980 • anii 1990 | |