Jerusalem (Computervirus)
Jerusalem | |
---|---|
Name | Jerusalem |
Aliase | Israeli, PLO, Friday13th |
Bekannt seit | 1987 |
Erster Fundort | Israel |
Virustyp | Dateivirus |
Dateigröße | 1.813 Bytes |
Wirtsdateien | EXE und COM |
Stealth | nein |
Speicherresident | ja |
System | MS-DOS (DOS-PC) |
Jerusalem ist ein Computervirus, das erstmals im Oktober 1987 im israelischen Teil der Stadt Jerusalem entdeckt wurde. Es war das erste Computervirus, das für damalige Verhältnisse in freier Wildbahn relativ verbreitet war.
Das Virus hat einen schädlichen Payload, der Daten löscht.
Aliasse
Neben der Bezeichnung Jerusalem ist vor allem der Name Friday13th gebräuchlich. Allerdings gibt es noch zwei andere Viren, die teilweise ebenfalls so bezeichnet werden, aber nichts mit Jerusalem zu tun haben (Friday-13th-440/Omega und Virus-B).
Weitere gebräuchliche Namen für die originale Version des Virus sind:
- 1808 (EXE)
- 1813 (COM)
- ArabStar
- BlackBox
- BlackWindow
- HebrewUniversity
- Israeli
- PLO
- Russian
Versionen und Derivate
- Get Password 1 (GP1) ist ein Novell NetWare-spezifisches Virus und wurde 1991 entdeckt. Es versucht Passwörter aus der NetWare DOS Shell zu sammeln, welche es dann zu einem spezifischen Socket im Netzwerk sendet, wo ein Hilfsprogramm sie auslesen kann.[1]
- Suriv Viren sind frühere, primitivere Versionen von Jerusalem. Suriv 1 und 2 lösen am 1. April, Suriv 3 an einem Freitag, den 13. aus.
- Sunday (Jeru-Sunday) lässt infiziert Dateien um 1,636 Bytes wachsen. Jeden Sonntag zeigt das Virus einen dieser Sätze in einem Abstand von 30 Minuten an: Today is SunDay! Why do you work so hard?, All work and no play make you a dull boy! oer Come on ! Let's go out and have some fun! Das Virus war eigentlich darauf ausgelegt alle Programme zu löschen, allerdings verhinderten Programmfehler teilweise. Sunday gibt es in drei Varianten. Sunday.a ist die ursprüngliche Version. Sunday.b hat eine funktionierende Routine um Programme zu löschen. Sunday.1.Tenseconds ist ähnlich wie Sunday.a, allerdings ist das Intervall zwischen den Botschaften nun 10 Sekunden.
- PQSR lässt infizierte Dateien um 1,720 Bytes wachsen. Am 13. jedes Monats löscht das Virus beliebige Programme des PCs. Der Master Boot Record und die neun Sektoren nach den MBR werden überschrieben. Das Virus benutzt „PQSR“ als Selbsterkennungscode.
- Jeruspain (Jeru-Spanish) – Wenn das Virus speicherresident wird, löscht es alle Programme am 26. jeden Monats.
- Frère spielt Frère Jacques an Freitagen oder am 13. des Monats.
- Jerusalem-113 – Programme laufen Samstags nicht. Das Virus lässt PHENOME.COM bei der Infektion aus, infiziert aber dafür COMMAND.COM
- Jerusalem-Apocalypse enthält den Text “Apocalypse!!”. Wenn das Virus speicherresident wird, löscht es jedes Programm, welches an einem Freitag, den 13. ausgeführt wird.
- Jerusalem-T1 – Wenn das Virus speicherresident wird löscht es jede lauffähige Datei an einem Dienstag den 1.
- Jerusalem-Frère.2 spielt Frère Jacques einmal pro Minute. Eine Variante mit dem Namen Two Tigers spielt das gleiche Stück.
- Jerusalem-Nemesis lässt NEMESIS.COM anstatt COMMAND.COM aus, und infiziert stattdessen COMMAND.COM. Jerusalem-Nemesis enthält den String “NEMESIS.COM”.
- Jerusalem-Captain Trip enthält die Strings “Captain Trips” und “SPITFIRE”. Wenn das Jahr nicht 1990 und der Tag ein Freitag oder ein Tag nach dem 15. ist und ein Programm ausgeführt wird erstellt Jerusalem-Captain Trip eine leere Datei mit dem Programmnamen. An verschiedenen anderen Daten installiert es eine Routine im Timer Tick, die nach 15 Minuten aktiviert wird. Am 16. programmiert Jerusalem-Captain Trip den Video Controller neu. Jerusalem-Captain Trip hat verschiedene Fehler.
- Jerusalem-Yellow infiziert keine .EXE-Dateien. Alle infizierten Dateien werden 1.363 Bytes länger. 45 Minuten oder 4.096 Tastenanschläge nachdem das Virus in den Speicher geladen worden ist, erstellt Jerusalem-Yellow ein großes gelbes Rechteck mit einem Schatten in der Mitte des Bildschirms und der Computer hängt sich auf.
- Mendoza (Jerusalem Mendoza) macht in den Jahren 1989 und 1990 nichts. In allen anderen Jahren wird ein Flag gesetzt wenn das Virus speicherresident ist und die Position des Diskettenmotors 25 beträgt. Das Flag wird gesetzt wenn ein Programm von einer Diskette ausgeführt wird. Wenn das Flag gesetzt ist, wird jedes Programm, das ausgeführt wird, gelöscht. Wenn das Flag nicht gesetzt ist, wird der Cursor nach 30 Minuten zu einem Block. Nach einer Stunde werden Caps Lock, Num Lock und Scroll Lock ausgeschaltet.
Es gibt noch zahlreiche weitere Varianten:
- Jerusalem.1244
- Jerusalem.1808.Standard
- Jerusalem.Mummy.1364.a
- Standard.SuMsdos
- Standard.Var
- Standard.AA33CCDDEE
- Standard.UMsDos
- Standard.null
- Standard.Nocommand
- Jan25
- Anarkia.2
- Puerto
- Spanish
- Messina
- ffd
- 1af
- Critical
- Flag_ee,
- *a204*
- Frère2
- Frère3
- 2e7
- Not13
- b0f
- Phenomen
- 52f
- 7c01
- 6d46
- JVT1
- J
- Friday15
- 3503
- Feb-7th
- Nov30
- sUMFDos
- SKISM
- 5a4
- 65d6
- BSA
- Dragon.
- Lee Morton’s Lover
Funktion
Infektion
Nach der Infektion wird das Virus speicherresident und infiziert alle COM- und EXE-Dateien, außer COMMAND.COM. COM-Dateien werden nach der Infektion 1.813 Bytes länger und werden nicht wieder neu infiziert. EXE-Dateien werden bei jeder Infektion 1.808 bis 1.823 Bytes größer und werden solange neu infiziert, bis sie nicht mehr in den Speicher geladen werden können. Manchmal werden EXE-Dateien nicht korrekt infiziert, wodurch diese Programme abstürzen, sobald sie ausgeführt werden.
Der Code selbst bindet sich in das Interrupt-Processing und andere DOS Services ein. Zum Beispiel löscht das Virus die Ausgabe von Konsolenmeldungen wenn es dem Virus zum Beispiel nicht möglich war eine Datei auf einem Read-Only Medium, wie zum Beispiel einer Diskette zu infizieren. Einer der Hinweise der Infektion des Computers ist das Falschschreiben der bekannten Meldung “Bad command or file name” als “ Bad Command or file name”.
Payload
Das Virus enthält einen destruktiven und einen nicht-destruktiven Schadensteil. Der destruktive Schadensteil ist darauf ausgelegt sich an jedem Freitag, den 13. außer im Jahr 1987 zu aktivieren. An diesem Datum löscht das Virus alle Programmdateien.
In dem nicht-destruktiven Schadensteil verringert das Virus 30 Minuten nach seiner Infektion die Geschwindigkeit von PC-XT-Systemen auf ca. ein Fünftel ihrer normalen Leistung, indem es nach jedem Timer Interrupt eine Schleife einfügt. Außerdem erzeugt das Virus ein ‚schwarzes Fenster‘, indem es Zeile 5, Kolonne 5 bis Zeile 16, Kolonne 16 auf dem Bildschirm zwei Linien nach oben verschiebt.
Verbreitung
Jerusalem war anfänglich sehr häufig anzutreffen und es entstanden eine große Zahl von Varianten. Seit dem Aufkommen von Windows werden die DOS Interrupts, die Jerusalem benutzt, nicht mehr verwendet, weshalb Jerusalem und seine Varianten ab Mitte der 1990er verschwanden.
Einzelnachweise
- Jerusalem’s rise and fall, chapter in an IBM virus research report
- Anti-Virus company Sophos description on the Jerusalem virus
- Anti-Virus company Network Associates description on the Jerusalem virus