Jerusalemvirus

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Das Jerusalemvirus ist ein Computervirus, das erstmals im Oktober 1987 in Jerusalem entdeckt wurde. Nach der Infektion wird es speicherresident und infiziert alle .COM- und .EXE-Dateien, außer COMMAND.COM. .COM-Dateien werden nach der Infektion 1.813 Bytes länger und werden nicht wieder neu infiziert. .EXE-Dateien werden bei jeder Infektion 1.808 bis 1.823 Bytes größer und werden solange neu infiziert, bis sie nicht mehr in den Speicher geladen werden können. Manchmal werden .EXE-Dateien nicht korrekt infiziert, wodurch diese Programme abstürzen, sobald sie ausgeführt werden.

Der Code selbst krallt sich in das Interrupt-Processing und andere DOS Services, zum Beispiel löscht das Virus die Ausgabe von Konsolenmeldungen wenn es dem Virus zum Beispiel nicht möglich war eine Datei auf einem Read-Only Medium, wie zum Beispiel einer Diskette zu infizieren. Einer der Hinweise der Infektion des Computers ist das Falschschreiben der bekannten Meldung “Bad command or file name” als “ Bad Command or file name”.

Das Virus enthält einen destruktiven und einen nicht-destruktiven Schadensteil. Der destruktive Schadensteil ist darauf ausgelegt sich an jedem Freitag, den 13. außer im Jahr 1987 zu aktivieren. An diesem Datum löscht das Virus alle Programmdateien.

In dem nicht-destruktiven Schadensteil verringert das Virus 30 Minuten nach seiner Infektion die Geschwindigkeit von PC-XT-Systemen auf ca. ein Fünftel ihrer normalen Leistung, indem es nach jedem Timer Interrupt eine Schleife einfügt. Außerdem erzeugt das Virus ein ‚schwarzes Fenster‘, indem es Zeile 5, Kolonne 5 bis Zeile 16, Kolonne 16 auf dem Bildschirm zwei Linien nach oben verschiebt.

Jerusalem war anfänglich sehr häufig anzutreffen und es entstanden eine große Zahl von Varianten. Seit dem Aufkommen von Windows werden die DOS Interrupts, die Jerusalem benutzt, nicht mehr verwendet, weshalb Jerusalem und seine Varianten sehr schnell verschwanden.

Aliasse[Bearbeiten | Quelltext bearbeiten]

  • 1808 (EXE)
  • 1813 (COM)
  • ArabStar
  • BlackBox
  • BlackWindow
  • Friday13th (Dieser Name kann auch auf zwei andere Viren verweisen, die nichts mit Jerusalem zu tun haben: Firday-13th-440/Omega und Virus-B)
  • HebrewUniversity
  • Israeli
  • PLO
  • Russian

Varianten[Bearbeiten | Quelltext bearbeiten]

Get Password 1 (GP1)[Bearbeiten | Quelltext bearbeiten]

Dieses Novell NetWare-spezifisches Virus, 1991 entdeckt, versucht Passwörter aus der NetWare DOS Shell zu sammeln, welche es dann zu einem spezifischen Socket im Netzwerk sendet, wo ein Hilfsprogramm sie auslesen kann.[1]

Suriv Viren[Bearbeiten | Quelltext bearbeiten]

Die Suriv Viren sind frühere, primitivere Versionen von Jerusalem. Suriv 1 und 2 lösen am 1. April, Suriv 3 an einem Freitag, den 13. aus.

Sunday (Jeru-Sunday)[Bearbeiten | Quelltext bearbeiten]

Dateien, die von Sunday infiziert wurden wachsen um 1,636 Bytes.

Jeden Sonntag zeigt das Virus einen dieser Texte in einem Abstand von 30 Minuten an.

  • Today is SunDay! Why do you work so hard?
  • All work and no play make you a dull boy!
  • Come on ! Let's go out and have some fun!

Die Variante war darauf ausgelegt alle Programme zu löschen, allerdings verhinderten Programmfehler dies.

Sunday hat verschiedene Varianten.

  • Sunday.a - Die oben beschriebene Version.
  • Sunday.b - Eine Version von Sunday mit einer funktionierenden Routine um die Programme zu löschen.
  • Sunday.1.Tenseconds - Wie Sunday.a, allerdings ist das Intervall zwischen den Botschaften nun 10 Sekunden.

PQSR[Bearbeiten | Quelltext bearbeiten]

PQSR lässt infizierte Dateien um 1,720 Bytes wachsen. Am 13. jedes Monats löscht das Virus beliebige Programme des PCs. Der master boot record und die neun Sektoren nach den MBR werden überschrieben. Das Virus benutzt „PQSR“ als Selbsterkennungscode.

Jeruspain (Jeru-Spanish)[Bearbeiten | Quelltext bearbeiten]

Wenn das Virus speicherresident wird, löscht es alle Programme am 26. jeden Monats.

Frère[Bearbeiten | Quelltext bearbeiten]

Frère spielt Frère Jacques an Freitagen oder am 13. des Monats.

Jerusalem-113[Bearbeiten | Quelltext bearbeiten]

Programme laufen Samstags nicht. Das Virus lässt PHENOME.COM bei der Infektion aus, infiziert aber dafür COMMAND.COM

Jerusalem-Apocalypse[Bearbeiten | Quelltext bearbeiten]

Jerusalem-Apocalypse enthält den Text “Apocalypse!!”. Wenn das Virus speicherresident wird, löscht es jedes Programm welches an einem Freitag, den 13. ausgeführt wird.

Jerusalem-T1[Bearbeiten | Quelltext bearbeiten]

Wenn das Virus speicherresident wird löscht es jede lauffähige Datei an einem Dienstag den 1.

Jerusalem-Frère.2[Bearbeiten | Quelltext bearbeiten]

Jerusalem-Frère spielt Frère Jacques einmal pro Minute. Eine Variante mit dem Namen Two Tigers spielt das gleiche Stück.

Jerusalem-Nemesis[Bearbeiten | Quelltext bearbeiten]

Das Virus lässt NEMESIS.COM anstatt COMMAND.COM aus, und infiziert stattdessen COMMAND.COM. Jerusalem-Nemesis enthält den String “NEMESIS.COM”.

Jerusalem-Captain Trip[Bearbeiten | Quelltext bearbeiten]

Jerusalem-Captain Trip enthält die Strings “Captain Trips” und “SPITFIRE”.

Wenn das Jahr nicht 1990 und der Tag ein Freitag oder ein Tag nach dem 15. ist und ein Programm ausgeführt wird erstellt Jerusalem-Captain Trip eine leere Datei mit dem Programmnamen. An verschiedenen anderen Daten installiert es eine Routine im Timer Tick, die nach 15 Minuten aktiviert wird. Am 16. programmiert Jerusalem-Captain Trip den Video Controller neu. Jerusalem-Captain Trip hat verschiedene Fehler.

Jerusalem-Yellow[Bearbeiten | Quelltext bearbeiten]

Jerusalem-Yellow infiziert keine .EXE-Dateien. Alle infizierten Dateien werden 1.363 Bytes länger.

45 Minuten oder 4.096 Tastenanschläge nachdem das Virus in den Speicher geladen worden ist, erstellt Jerusalem-Yellow ein großes gelbes Rechteck mit einem Schatten in der Mitte des Bildschirms und der Computer hängt sich auf.

Mendoza (Jerusalem Mendoza)[Bearbeiten | Quelltext bearbeiten]

Das Virus macht in den Jahren 1989 und 1990 nichts.

In allen anderen Jahren wird ein Flag gesetzt wenn das Virus speicherresident ist und die Position des Diskettenmotors 25 beträgt. Das Flag wird gesetzt wenn ein Programm von einer Diskette ausgeführt wird.

Wenn das Flag gesetzt ist, wird jedes Programm, das ausgeführt wird, gelöscht.

Wenn das Flag nicht gesetzt ist, wird der Cursor nach 30 Minuten zu einem Block. Nach einer Stunde werden Caps Lock, Num Lock und Scroll Lock ausgeschaltet.

Andere Varianten[Bearbeiten | Quelltext bearbeiten]

  • Jerusalem.1244
  • Jerusalem.1808.Standard
  • Jerusalem.Mummy.1364.a
  • Standard.SuMsdos
  • Standard.Var
  • Standard.AA33CCDDEE
  • Standard.UMsDos
  • Standard.null
  • Standard.Nocommand
  • Jan25
  • a
  • Anarkia.2
  • Puerto
  • Spanish
  • Messina
  • ffd
  • 1af
  • Critical
  • Flag_ee,
  • *a204*
  • Frère2
  • Frère3
  • 2e7
  • Not13
  • b0f
  • Phenomen
  • 52f
  • 7c01
  • 6d46
  • JVT1
  • J
  • Friday15
  • 3503
  • Feb-7th
  • Nov30
  • sUMFDos
  • SKISM
  • 5a4
  • 65d6
  • BSA
  • Dragon.
  • Lee Morton’s Lover

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. http://support.novell.com/techcenter/articles/ana19920301.html