예루살렘(컴퓨터 바이러스)

Jerusalem (computer virus)
예루살렘
통칭예루살렘
에일리어스
  • 아랍의 별
  • 13일 금요일
  • 이스라엘어
분류알 수 없는
유형컴퓨터 바이러스
영향을 받는 운영 체제DOS

예루살렘은 1987년 [1]10월 예루살렘 히브리 대학에서 처음 발견논리폭탄 도스 바이러스다.감염되면 예루살렘 바이러스는 메모리 상주(메모리 2kb 사용) 상태가 되고 COMMAND를 제외한 실행 가능한 모든 파일에 감염됩니다.COM.[2] COM 파일은 예루살렘에 감염되었을 때 1,813바이트 증가하며 재감염되지 않습니다.실행 파일은 감염될 때마다 1,808 ~ 1,823 바이트 증가하며, 파일이 로드될 때마다 메모리에 로드될 수 없을 정도로 커질 때까지 재감염됩니다.일부 .EXE 파일은 감염되었지만 여러 오버레이가 정품 뒤에 있기 때문에 증가하지 않습니다.EXE 파일을 같은 파일에 저장합니다.가끔씩.EXE 파일이 잘못 감염되어 프로그램이 실행되자마자 실행되지 않습니다.

바이러스 코드 자체는 인터럽트 처리 및 기타 낮은 수준의 DOS 서비스에 접속됩니다.예를 들어, 바이러스가 플로피 디스크와 같은 읽기 전용 장치의 파일을 감염시킬 수 없는 경우 바이러스 내의 코드는 콘솔 메시지의 인쇄를 억제합니다.컴퓨터가 감염되었다는 단서 중 하나는 잘 알려진 메시지 "Bad command or file name"을 "Bad command or file name"으로 잘못 대문자로 표시한 것입니다.

예루살렘 바이러스는 1987년을 제외하고 [3]13일 금요일에 터질 예정인 논리 폭탄이기 때문에 당시 다른 바이러스들 중에서 독특하다.바이러스가 트리거되면 해당 날짜에 [4]실행 중인 프로그램이 삭제될 뿐만 아니라 감염도 발생합니다.EXE 파일이 시스템에 [5]비해 너무 커질 때까지 반복합니다.예루살렘의 모든 변종에는 포함되지 않았던 이 특별한 기능은 시스템이 감염된 지 30분 후에 작동하기 때문에 감염된 컴퓨터의 속도가 현저히 느려지고,[5][6] 따라서 더 쉽게 탐지할 수 있습니다.예루살렘은 페이로드 시퀀스 중에 블랙박스가 표시되기 때문에 블랙박스로도 알려져 있다.시스템이 텍스트 모드인 경우 예루살렘은 행 5, 열 5에서 행 16, 열 16까지 검은색 작은 직사각형을 작성합니다.바이러스가 활성화되고 30분 후에 이 직사각형이 두 [5]줄로 스크롤됩니다.

바이러스가 저레벨의 타이머 인터럽트에 후크하기 때문에 PC-XT 시스템은 바이러스가 설치된 후 30분 후에 정상 속도의 5분의 1까지 느려집니다.다만, 속도가 빠른 머신에서는 그 속도가 그다지 눈에 띄지 않습니다.이 바이러스에는 프로세서의 타이머 틱이 활성화될 때마다 처리 루프로 들어가는 코드가 포함되어 있습니다.

또, 워크스테이션이 네트워크로부터 자동적으로 절단되어 큰 프린터의 스풀 파일이 작성되는 등의 증상도 있습니다.예루살렘에서는 Novell NetWare 및 기타 네트워크 구현이 파일 시스템에 연결하기 위해 필요한 '인터럽트 21h' 하위 수준의 DOS 기능을 사용하기 때문에 연결이 끊어집니다.

예루살렘은 처음에 매우 흔했고 많은 변종들을 낳았다.그러나 윈도의 등장 이후 이러한 DOS 인터럽트는 더 이상 사용되지 않기 때문에 예루살렘과 그 변형은 더 이상 사용되지 않게 되었다.

에일리어스

  • 1808(EXE), 바이러스의 길이가 1808바이트입니다.
  • 1813([7]COM), 바이러스의 길이가 1813바이트이기 때문입니다.
  • 13일 금요일 (주의:이 이름은 예루살렘과 관련이 없는 두 가지 바이러스를 가리킬 수도 있습니다.Friday-13-440/Omega 및 Virus-B)의 트리거일은 13일 금요일입니다.
  • 히브리 대학,[1] 히브리 대학에 다니는 학생들에 의해 발견되었습니다.
  • 이스라엘어
  • PLO는 팔레스타인 해방기구가 이스라엘 독립기념일 전날인 1948년 5월 13일을 기념하기 위해 창설했다는 믿음 때문에 팔레스타인이 [7]국가로 존재했던 마지막 날이었던 것으로 보인다.
  • 러시아어
  • 토요일 14
  • sUMsDos, 바이러스 [7]코드 일부를 참조합니다.

변종

  • 패스워드 1(GP1) 취득:1991년에 발견된 이 Novell NetWare 고유 바이러스는 사용자 로그인 시 메모리의 NetWare DOS 쉘에서 암호를 수집하려고 시도합니다.이 바이러스는 네트워크상의 특정 소켓 번호로 브로드캐스트하여 지원 프로그램이 암호를 복구할 수 있습니다.이 바이러스는 Novell 2.x 이후 [5]버전에서는 작동하지 않습니다.
  • Suriv 바이러스:예루살렘의 더 원시적인 버전인 바이러스입니다.예루살렘 바이러스는 13일 금요일인 13일 컴퓨터를 끈 논리폭탄 수리브-3에 기반한 것으로 추정된다.4월 1일(만우절) 발사된 논리폭탄 수리브-1과 수리브-2를 기반으로 4월 1일(이하 만우절)에 바이러스가 생겼구나![3]라는 문구가 표시됐다.Suriv-1은 감염됩니다.COM 파일과 Suriv-2가 감염됩니다.EXE 파일은 Suriv-3은 두 가지 유형의 파일을 모두 감염시킵니다.이러한 바이러스의 이름은 "virus"의 철자를 거꾸로 [7]쓴 것에서 유래합니다.
  • 일요일(제루~일) : (주요 기사:일요일(컴퓨터 바이러스)이 바이러스는 파일을 1,636바이트 증가시킨다.이 변형은 매주 일요일에 실행되는 모든 프로그램을 삭제하는 것을 목적으로 하지만 소프트웨어 버그로 인해 이 문제가 발생하지 않습니다.일요일마다 바이러스는 다음 메시지를 표시합니다.

    오늘은 SunDay!왜 그렇게 일을 열심히 해요?일만 하고 놀지 않으면 바보가 돼!힘내세요!나가서 [5]신나게 놀자!

  • 일요일의 변종
    • Sunday.a: 원래 일요일 바이러스.
    • Sunday.b: 프로그램 삭제 기능이 있는 일요일 버전입니다.
    • Sunday.1.b: Sunday.b의 개선으로 쓰기 방지 디스크의 문제를 일으키는 중대한 오류 핸들러에 관한 버그가 수정되었습니다.
    • 일요일.1.Tenseconds : Sunday.a의 변형으로 메시지 간에 10초 지연을 유지하며 일요일을 7일이 아닌 0일로 설정합니다.
    • Sunday.2: Sunday.a의 변형으로 원래 1,636바이트가 아닌 1,733바이트씩 파일이 증가합니다.
  • 아나키아:아나키아의 트리거 날짜는 13일 화요일이며 자기 인식 코드 "아나키아"[8]를 사용합니다.
  • PSQR(1720): PQSR 감염.COM 및.EXE 파일이지만 오버레이 파일이나 COMMAND는 감염되지 않습니다.COM. 감염의 원인이 됩니다.COM 파일은 1,720 바이트 증가 및EXE 파일은 1,719 ~1,733 바이트입니다13일 금요일에 활성화되며 해당 날짜에 실행된 모든 파일이 삭제됩니다.가비지는 마스터 부트레코드 및 MBR 뒤의9개의 섹터에 써집니다.바이러스는 자기 인식 [9]코드로 "PQSR"를 사용합니다.
  • Frére: Frére는 금요일에 [5]Frér Jacques를 연기합니다.감염된 의 크기를 늘립니다.1,813바이트의 COM 파일 및EXE 파일은 1,808-1,822바이트이지만 COMMAND는 감염되지 않습니다.COM[10]
  • 웨스트우드(예루살렘-웨스트우드):Westwood는 파일을 1,829바이트 증가시킵니다.바이러스가 메모리에 상주하는 경우 Westwood는 13일 [11]금요일 실행 중인 파일을 삭제합니다.
  • 예루살렘 11-30:이 바이러스는 감염된다.COM, .EXE 및 오버레이 파일. 단, COMMAND 파일은 제외합니다.COM. 바이러스는 프로그램을 사용할 때 감염되어 감염을 일으킵니다.COM 파일은 2,000바이트 증가 및EXE 파일을 2,000 ~2,014 바이트 증가시킵니다.그러나, 원래의 예루살렘 바이러스와 달리, 그것은 재감염되지 않는다.EXE [12]파일
  • 예루살렘-아포칼립스:이탈리아에서 개발된 이 바이러스는 프로그램을 실행할 때 감염시켜 'Apocalypse!!'라는 텍스트를 삽입한다.감염 파일에 있습니다.감염의 원인이 됩니다.COM 파일은 1,813바이트 증가 및EXE는 1,808-1,822바이트 증가.에 재감염될 수 있습니다.EXE 파일 및 이미 감염된 파일의 크기를 늘립니다.EXE 파일이 1,808바이트 [8]증가.
  • 예루살렘-VT1: 바이러스가 메모리에 상주하고 있는 경우,[8] 1일 화요일에 실행된 모든 파일을 삭제합니다.
  • 예루살렘-T13:바이러스로 인해 발생.COM 및.EXE 파일은 1,812바이트 증가합니다.바이러스가 메모리에 상주하고 있는 경우는, 13일 화요일에 실행되고 있는 모든 프로그램을 삭제합니다.
  • 예루살렘-새트 13: 바이러스가 메모리에 상주할 경우 13일 토요일에 실행되는 모든 프로그램을 삭제합니다.
  • 예루살렘-체코: 바이러스가 감염되었습니다.COM 및.EXE 파일. 단, COMMAND 파일.COM. 감염의 원인이 됩니다.COM 파일은 1,735바이트 증가 및EXE 파일은 1,735-1,749바이트 증가.13일 금요일에 실행되는 프로그램은 삭제되지 않습니다.예루살렘-체코는 원래 예루살렘과 다른 자기 인식 코드와 코드 배치를 가지고 있으며 일요일 [8]변형으로 자주 감지됩니다.
  • 예루살렘-네메시스:이 바이러스는 "NEMESIS"라는 문자열을 삽입합니다.감염된 파일에 [8]COM" 및 "NOKEY"가 있습니다.
  • 예루살렘 캡틴 트립스: 예루살렘 캡틴 트립스에는 "캡틴 트립스"와 "스피트파이어"라는 문자열이 포함되어 있습니다.캡틴 트립스는 스티븐 킹의 소설 스탠드에 묘사된 종말론적 전염병의 이름이다.1990년 이외의 해이고 15일 이후의 금요일인 경우 예루살렘 캡틴 트립스는 그날 실행한 프로그램과 동일한 이름의 빈 파일을 만듭니다.16일 예루살렘 캡틴 트립은 비디오 컨트롤러를 재프로그래밍하고, 몇 가지 다른 날짜에 타이머 틱에 루틴을 설치하여 15분이 지나면 활성화됩니다.예루살렘 캡틴 트립스는 [8]몇 가지 오류를 가지고 있다.
  • 예루살렘 J: 변종이 원인입니다.COM 파일은 1,237바이트 증가 및EXE 파일이 약 1,232바이트 감소.이 바이러스는 "예루살렘 효과"가 없으며 홍콩에서 [5]유래했다.
  • 예루살렘-노란색(성장 블록):예루살렘 옐로우가 감염되다.EXE 및.COM 파일감염되었습니다.COM 파일은 1,363 바이트 및 증가합니다.EXE 파일은 1,361-1,375바이트 증가합니다.화면 중앙에 그림자가 있는 노란색 큰 상자가 생성되고 컴퓨터가 행업합니다.[13]
  • 예루살렘-Jan25: 바이러스가 메모리에 상주할 경우 1월 25일에 활성화되고 그날 실행 중인 모든 프로그램을 삭제합니다.또, 재감염은 행해지지 않습니다.EXE [8]파일
  • Skism: 이 바이러스는 이달 15일 이후 금요일에 활성화되며 감염을 일으킨다.COM 파일이 1,808바이트 증가하여 감염되었습니다.EXE는 1,808-1,822바이트 증가.또, 재감염할 수도 있습니다.EXE [8]파일
  • 카필드(제루-카필드):이 바이러스로 인해 감염된 파일이 1,508바이트 증가합니다.바이러스가 메모리에 상주하고 있고 요일이 월요일인 경우 컴퓨터에는 42초마다 "[14]Carfield!"라는 문자열이 표시됩니다.
  • 멘도사(예루살렘 멘도사):1980년 또는 1989년의 경우 바이러스는 아무것도 하지 않지만, 다른 해에는 바이러스가 메모리에 상주하고 플로피 디스크 모터 수가 25인 경우 플래그가 설정됩니다.플로피 디스크에서 프로그램을 실행하는 경우 플래그가 설정됩니다.플래그가 설정되면 실행되는 모든 프로그램이 삭제됩니다.플래그가 설정되지 않고 30분이 지나면 커서가 블록으로 변경됩니다.1시간 후 Caps Lock, Nums Lock 및 Scroll Lock이 "Off"로 전환됩니다.또, 재감염은 행해지지 않습니다.EXE [8]파일
  • 아인슈타인:이는 878바이트에 불과한 작은 배리언트이며 감염됩니다.EXE [5]파일
  • 묵테즈마:이 변종 바이러스는 2,228바이트로 [5]암호화되어 있습니다.
  • 세기:이 변형은 "Welcome to the 21st Century"라는 메시지를 표시하기로 되어 있던 2000년 1월 1일의 논리 폭탄입니다.하지만, 아무도 [5]이 바이러스를 본 적이 없기 때문에, 아무도 이 바이러스의 정당성에 대해 확신하지 못한다.
  • 다뉴브: 다뉴브 바이러스는 예루살렘의 독특한 변종인데, 예루살렘을 넘어 진화하고 그것의 극히 일부만을 반영하기 때문입니다.이 바이러스는 다단계 바이러스이기 때문에 감염 및 확산에 사용할 수 있는 방법이 여러 가지가 있습니다.디스크 부트 섹터 및 를 포함합니다.COM 및.EXE 파일따라서 바이러스의 작동 방식은 바이러스의 발생원(부트 섹터 또는 프로그램)에 따라 달라집니다.오염된 프로그램이 실행되면 바이러스는 메모리에 상주하며 5kB가 소요됩니다.또, 액티브한 부트 섹터에도 존재하는지를 체크해, 이전에 존재하지 않았던 경우는, 그 섹터에 카피를 배치합니다.컴퓨터가 오염된 부트 섹터/디스크에서 부팅되면 운영 체제가 로드되기도 전에 바이러스가 메모리에 저장됩니다.5kB의 DOS 기반 메모리를 예약하고 [5]감염된 디스크에 5개의 섹터를 예약합니다.
  • HK: This variant of Jerusalem originates from Hong Kong, and references one of Hong Kong's technical schools in its code.[5]
  • Jerusalem-1767: This virus infects .EXE and .COM files, and will infect COMMAND.COM if it is executes. It causes .COM files to grow by 1,767 bytes and .EXE to grow by 1,767-1,799 bytes. Infected files include the strings "**INFECTED BY FRIDAY 13th**" or "COMMAND.COM".[15]
  • Jerusalem-1663: This virus infects .EXE and .COM files, including COMMAND.COM. Once memory resident, it infects programs as they are run. It causes .COM and .EXE files to grow by 1,663 bytes, but it cannot recognize infected files, so it may re-infect both .COM and .EXE files.[16]
  • Jerusalem-Haifa: This virus infects .EXE and .COM files, but not COMMAND.COM. It causes .COM files to grow by 2,178 bytes and .EXE files to grow by 1,960-1,974 bytes. Its name is due to the Hebrew word for Haifa, an Israeli city, being in the virus code.[17]
  • Phenome: This virus is similar to the Apocalypse variant, but will infect COMMAND.COM. It only activates on Saturdays, and does not allow the user to execute programs. It features the string "PHENOME.COM" and "MsDos".[8]

See also

References

  1. ^ a b "מבט לאחור: הווירוס הישראלי הראשון". ynet (in Hebrew). 2006-02-02. Retrieved 2019-03-10.
  2. ^ "Jerusalem". ESET. Retrieved 9 February 2013.
  3. ^ a b "Episode 35 - The Jerusalem Virus - Malicious Life Podcast". Malicious Life. Retrieved 2019-03-10.
  4. ^ "Jerusalem,1808". www.symantec.com. Retrieved 2019-03-10.
  5. ^ a b c d e f g h i j k l "Jerusalem Description F-Secure Labs". www.f-secure.com. Retrieved 2019-03-10.
  6. ^ "JERUSALEM - Threat Encyclopedia - Trend Micro US". www.trendmicro.com. Retrieved 2019-03-27.
  7. ^ a b c d DaBoss (2013-02-27). "Chapter 6 Lehigh/ Jerusalem". Computer Knowledge. Retrieved 2019-03-10.
  8. ^ a b c d e f g h i j "Online VSUM - Jerusalem Virus". wiw.org. Retrieved 2019-03-27.
  9. ^ "Online VSUM - 1720 Virus". wiw.org. Retrieved 2019-03-27.
  10. ^ "Online VSUM - Frere Jacques Virus". wiw.org. Retrieved 2019-03-27.
  11. ^ "Online VSUM - Westwood Virus". wiw.org. Retrieved 2019-03-27.
  12. ^ "Online VSUM - Jerusalem 11-30 Virus". wiw.org. Retrieved 2019-03-27.
  13. ^ "Online VSUM - Growing Block Virus". wiw.org. Retrieved 2019-03-27.
  14. ^ "JERUSALEM-10 - Threat Encyclopedia - Trend Micro US". www.trendmicro.com. Retrieved 2019-03-27.
  15. ^ "Online VSUM - Jerusalem 1767 Virus". wiw.org. Retrieved 2019-03-27.
  16. ^ "Online VSUM - Jerusalem 1663 Virus". wiw.org. Retrieved 2019-03-27.
  17. ^ "Online VSUM - Jerusalem-Haifa Virus". wiw.org. Retrieved 2019-03-27.

External links