Jerusalem on logiikkapommilla varustettu tietokonevirus , joka löydettiin ensimmäisen kerran Jerusalemin heprealaisesta yliopistosta lokakuussa 1987 [1] . Kun virus on saanut tartunnan, siitä tulee pysyvä ja se käyttää 2 kilotavua muistia ja saastuttaa sitten kaikki suoritettavat tiedostot, kun se käynnistetään, paitsi COMMAND.COM [2] . COM-tiedostot kasvavat 1813 tavulla, kun ne saavat virustartunnan, eivätkä ne saa tartuntaa uudelleen. EXE-tiedostot kasvavat 1808-1823 tavua jokaisella tartunnalla ja tartuttavat sitten uudelleen joka kerta, kun ne suoritetaan, kunnes ne ovat liian suuria ladattavaksi muistiin. Joidenkin tartunnan saaneiden .EXE-tiedostojen koko ei kasva. Joskus EXE-tiedostot vioittuvat tartunnan saamisen jälkeen, jolloin ohjelma kaatuu tai jumiutuu välittömästi sen käynnistämisen jälkeen.
Jerusalem-viruskoodi käyttää keskeytyksiä (int) ja muita MS-DOS- käyttöjärjestelmän matalan tason ominaisuuksia . Virus esimerkiksi estää konsolin lähdön, jos se ei voi saastuttaa tiedostoa vain luku -laitteella, kuten levykkeellä . Yksi tietokoneen tartunnan merkkejä on ison B-kirjaimen puuttuminen tunnetusta järjestelmäviestistä "Virheellinen komento tai tiedostonimi".
Jerusalem-virus on ainutlaatuinen muiden sen ajan virusten joukossa, koska logiikkapommin piti räjähtää perjantaina 13. päivänä kaikkina kalenterivuosina paitsi vuonna 1987 [3] . Kun virus on käynnistetty, se ei ainoastaan poista kaikkia kyseisenä päivänä käynnissä olevia ohjelmia [4] , vaan myös saastuttaa EXE-tiedostoja useita kertoja, kunnes ne ylittävät tietokoneelle sallitun enimmäiskoon [5] . Tämä ominaisuus, joka ei sisältynyt kaikkiin Jerusalemin muunnelmiin, toimii 30 minuuttia järjestelmän saamisen jälkeen, mikä hidastaa merkittävästi tartunnan saaneen tietokoneen toimintaa ja helpottaa viruksen havaitsemista [5] [6] . Jerusalem tunnetaan myös nimellä "Musta laatikko" sen visuaalisen tehosteen vuoksi, joka näkyy sen toimintansa aikana. Jos järjestelmä on tekstitilassa, virus luo pienen mustan suorakulmion riviltä 5 sarakkeesta 5 riviin 16 sarakkeeseen 16. Kolmekymmentä minuuttia viruksen aktivoinnin jälkeen tämä suorakulmio vierii kaksi riviä ylöspäin [5] .
Viruksen yhdistäminen matalan tason ajastinkeskeytykseen PC/XT -järjestelmässä hidastaa sen viidesosaan sen normaalista nopeudesta 30 minuuttia käynnistyksen jälkeen, vaikka hidastuminen on vähemmän havaittavissa nopeammissa koneissa. Virus sisältää koodia, joka tulee prosessointisilmukkaan aina, kun prosessorin ajastin aktivoidaan.
Tartunnan oireita ovat myös työasemien spontaani yhteyden katkeaminen paikallisverkosta ja suurten tiedostojen luominen tulostimen tulostusjonoon. Yhteys katkeaa, koska virus käyttää matalan tason DOS int 21h -keskeytyksiä, jotka käyttävät Novell NetWarea ja muita verkkototeutuksia muodostaakseen yhteyden tiedostojärjestelmään.
Aluksi Jerusalem oli hyvin yleinen sen ajan tietokonevirusten joukossa, mikä aiheutti suuren määrän muunnelmia. Kuitenkin Windowsin tulon jälkeen viruksen käyttämät DOS-keskeytykset eivät ole enää aktivoituneet, joten Jerusalem ja sen muutokset ovat vanhentuneita eivätkä toimi.
| 1980-luvun hakkerihyökkäykset | |
|---|---|
| Tietokonevirukset | |
| 1980 -luku • 1990 -luku | |