Virus informático tipo bomba lógica DOS
Jerusalem es un virus DOS de bomba lógica detectado por primera vez en la Universidad Hebrea de Jerusalén , en octubre de 1987. [1] Al infectarse, el virus Jerusalem se convierte en residente en memoria (utilizando 2 kb de memoria) y luego infecta todos los archivos ejecutables que se ejecutan, excepto COMMAND.COM . [2] Los archivos COM crecen en 1.813 bytes cuando son infectados por Jerusalem y no se vuelven a infectar. Los archivos ejecutables crecen entre 1.808 y 1.823 bytes cada vez que se infectan y luego se vuelven a infectar cada vez que se cargan los archivos hasta que son demasiado grandes para cargarlos en la memoria. Algunos archivos .EXE se infectan pero no crecen porque varias superposiciones siguen al archivo .EXE genuino en el mismo archivo. A veces, los archivos .EXE se infectan incorrectamente, lo que hace que el programa no se ejecute tan pronto como se ejecuta.
El código del virus se conecta al procesamiento de interrupciones y otros servicios DOS de bajo nivel . Por ejemplo, el código del virus suprime la impresión de mensajes de consola si, por ejemplo, el virus no puede infectar un archivo en un dispositivo de solo lectura, como un disquete . Una de las pistas de que un equipo está infectado es la mala capitalización del conocido mensaje " Mal comando o nombre de archivo " como "Mal comando o nombre de archivo".
El virus Jerusalem es único entre otros virus de la época, ya que es una bomba lógica , programada para explotar el viernes 13 en todos los años excepto 1987 (lo que hace que su primera fecha de activación sea el 13 de mayo de 1988). [3] Una vez activado, el virus no solo elimina cualquier programa ejecutado ese día, [4] sino que también infecta archivos .EXE repetidamente hasta que se vuelven demasiado grandes para la computadora. [5] Esta característica particular, que no estaba incluida en todas las variantes de Jerusalem, se activa 30 minutos después de que el sistema se infecta, lo que ralentiza significativamente la computadora infectada, lo que permite una detección más fácil. [5] [6] Jerusalem también se conoce como "BlackBox" debido a un cuadro negro que muestra durante la secuencia de carga útil. Si el sistema está en modo texto, Jerusalem crea un pequeño rectángulo negro desde la fila 5, columna 5 hasta la fila 16, columna 16. Treinta minutos después de que se activa el virus, este rectángulo se desplaza hacia arriba dos líneas. [5]
Como resultado de que el virus se conecta a la interrupción del temporizador de bajo nivel, los sistemas PC-XT reducen su velocidad a una quinta parte de su velocidad normal 30 minutos después de que el virus se haya instalado, aunque la reducción es menos notoria en máquinas más rápidas. El virus contiene un código que entra en un bucle de procesamiento cada vez que se activa el tic del temporizador del procesador.
Los síntomas también incluyen la desconexión espontánea de las estaciones de trabajo de las redes y la creación de grandes archivos de cola de impresión . Las desconexiones se producen porque Jerusalem utiliza las funciones DOS de bajo nivel " interrupt 21h " que Novell NetWare y otras implementaciones de redes necesitaban para conectarse al sistema de archivos.
Jerusalem fue en un principio muy común (para un virus de la época) y generó una gran cantidad de variantes. Sin embargo, desde la llegada de Windows , estas interrupciones DOS ya no se utilizan, por lo que Jerusalem y sus variantes quedaron obsoletas.
Alias
- 1808(EXE), debido a la longitud del virus de 1808 bytes.
- 1813(COM), debido a la longitud del virus de 1813 bytes. [7]
- Viernes 13 (Nota: El nombre también puede referirse a dos virus que no están relacionados con Jerusalén: Viernes-13-440/Omega y Virus-B), debido a su fecha de activación del viernes 13.
- Universidad Hebrea, tal como la descubrieron los estudiantes que asistieron a la Universidad Hebrea. [1]
- israelí
- OLP, debido a la creencia de que fue creada por la Organización para la Liberación de Palestina para conmemorar el 13 de mayo de 1948, el día antes del Día de la Independencia de Israel , aparentemente el último día en que Palestina existió como país. [7]
- ruso
- Sabado 14
- sUMsDos, que hace referencia a un fragmento del código del virus. [7]
Variantes
- Get Password 1 (GP1): descubierto en 1991, este virus específico de Novell NetWare intenta obtener contraseñas del shell DOS de NetWare en la memoria al iniciar sesión el usuario, que luego transmite a un número de socket específico en la red donde un programa complementario puede recuperarlas. Este virus no funciona en Novell 2.x y versiones más nuevas. [5]
- Virus Suriv: Virus que son versiones anteriores y más primitivas de Jerusalem. Se considera que el virus Jerusalem está basado en Suriv-3, que es una bomba lógica que se activa cuando la fecha es viernes 13 , apagando la computadora el día 13. En sí, Suriv-3 se basa en sus predecesores, Suriv-1 y Suriv-2, que son bombas lógicas que se activan el 1 de abril ( Día de los Inocentes ), mostrando un texto que dice "1 de abril, ¡ja, ja, tienes un virus!". [3] Suriv-1 infecta archivos .COM y Suriv-2 infecta archivos .EXE, mientras que Suriv-3 infecta ambos tipos de archivos. El nombre de estos virus proviene de escribir "virus" al revés. [7]
- Domingo (Jeru-Sunday): Fue descubierto en noviembre de 1989 [8] después de una serie de informes simultáneos de Seattle , Washington, Estados Unidos y áreas circundantes. Varios otros brotes de Seattle, incluido AirCop, fueron rastreados más tarde hasta Asia. Sunday es una variante estándar parcheada de Jerusalem en la forma en que infecta archivos. Es un tipo de virus de archivo de programa. Infecta archivos . EXE , . COM y . OVL . Al igual que el Jerusalem original, los archivos infectados ocasionalmente se corrompen. Sunday es menos fácil de identificar que el Jerusalem original, en parte debido a los errores corregidos y en parte porque su carga útil está mal escrita y no se ejecuta. La capitalización de "Sunday" se informa de diversas formas como "Sunday" o "SunDay", y puede depender de la variante. WildList, una organización que rastrea virus informáticos, listó a Sunday como propagándose en varias formas desde poco después de que se iniciara la lista hasta 1998. [9] Como todos los virus DOS, Sunday sufrió con el debut de Windows . Actualmente se considera obsoleto, aunque el virus era lo suficientemente común como para que el uso de archivos que antes estaban inactivos haya dado lugar a infecciones recientes. Sin embargo, es poco probable que se produzca algo más que un brote localizado. [ cita requerida ]
- Los archivos COM y EXE aumentan de tamaño (1.636 bytes). Los archivos COM aumentan una cantidad determinada, mientras que los archivos EXE aumentan entre esa cantidad y 9 o 10 bytes menos. A diferencia del Jerusalem original, los archivos no se infectarán muchas veces.
- La interrupción 21 será enganchada.
- Los archivos infectados contendrán la cadena "¡Hoy es domingo! ¿Por qué trabajas tanto? ¡ Todo trabajo y nada de diversión te hacen un chico aburrido ! ¡Vamos! ¡Salgamos y divirtámonos!"
- Debido a un error en la codificación, el virus no puede ejecutar su carga útil, que estaba destinada a activarse los domingos de todos los años excepto 1989. Esto es para imprimir el texto indicado anteriormente en la pantalla y luego borrar todos los archivos ejecutados mientras el virus reside en la memoria, como lo hacía el Jerusalem original todos los viernes 13.
- Variantes del domingo
- Domingo.a: El virus dominical original.
- Sunday.b: Una versión de Sunday que tiene una función funcional de eliminación de programas.
- Domingo.1.b: Una mejora de Domingo.b que corrige un error relacionado con el Controlador de errores críticos, que causa problemas en discos protegidos contra escritura.
- Domingo.1.Diezsegundos: Una variante de Domingo.a que mantiene un retraso de 10 segundos entre mensajes y establece el domingo como el día 0 en lugar del día 7.
- Domingo.2: Una variante de Domingo.a que aumenta los archivos en 1.733 bytes en lugar de los 1.636 bytes originales.
- Anarkia: Anarkia tiene como fecha de activación el martes 13 y utiliza el código de auto-reconocimiento "Anarkia". [10]
- PSQR (1720): PQSR infecta archivos .COM y .EXE, pero no infecta archivos superpuestos ni COMMAND.COM. Hace que los archivos .COM infectados crezcan en 1.720 bytes y los archivos .EXE en 1.719-1.733 bytes. Se activa el viernes 13 y eliminará cualquier archivo ejecutado ese día. La basura se escribe en el registro de arranque maestro y en los nueve sectores después del MBR. El virus utiliza "PQSR" como su código de auto-reconocimiento, que se encuentra al final del archivo. [11]
- Frère: Frère juega a Frère Jacques los viernes. [5] Aumenta el tamaño de los archivos .COM infectados en 1.813 bytes y el de los archivos .EXE en 1.808-1.822 bytes, pero no infecta a COMMAND.COM. [12]
- Westwood (Jerusalem-Westwood; Jeru.Westwood.1829) Westwood hace que los archivos crezcan en 1.829 bytes. Si el virus reside en la memoria, Westwood elimina cualquier archivo ejecutado durante el viernes 13. [ 13] El virus fue aislado por un estudiante de ingeniería de la UCLA que lo descubrió en una copia del programa "speed.com" distribuido con una nueva placa base; fue descubierto en agosto de 1990, en Westwood, Los Ángeles, California . La infección viral se indicó por primera vez cuando una versión anterior de Microsoft Word informó un error interno de suma de comprobación y no se ejecutó. Cualquier archivo de tipo COM , EXE u OVL se infecta al ejecutarse, excepto COMMAND.COM . El mecanismo de infección en Westwood está mejor escrito que el del Jerusalem original. El original volvería a infectar los archivos hasta que crecieran a tamaños ridículos. Westwood infecta solo una vez. Como con la mayoría de las variantes de Jerusalem, Westwood contiene una carga útil destructiva. Todos los viernes 13 , se conectará la interrupción 22 para que se eliminen todos los programas ejecutados en esta fecha mientras el virus resida en la memoria. Westwood es funcionalmente similar a Jerusalem, pero la codificación es bastante diferente en muchas áreas. Debido a esto, las firmas de eliminación de virus utilizadas para detectar el Jerusalem original tuvieron que modificarse para detectar Westwood. Organizaciones como Virus Bulletin solían utilizar Westwood para probar los escáneres de virus para ver si podían distinguir las variantes de Jerusalem. WildList nunca informó que Westwood estuviera en el campo. Sin embargo, su aislamiento se realizó después de que el virus hubiera causado infecciones en la comunidad de Westwood. Se desconoce cuánto se propagó Westwood fuera de California (con algunos informes en estados vecinos), especialmente porque Westwood se diagnostica fácilmente de forma errónea como Jerusalem. Desde la llegada de Windows , incluso las variantes exitosas de Jerusalem se han vuelto cada vez menos comunes. Como tal, Westwood se considera obsoleto. Sus propiedades incluyen:
- Los archivos COM ejecutados aumentarán en 1.829 bytes de tamaño; los archivos EXE y OVL aumentarán entre 1.819 y 1.829 bytes.
- Las interrupciones 8 y 21 estarán enganchadas; el viernes 13 también estará enganchada la interrupción 22.
- Treinta minutos después de que el virus se convierta en residente en la memoria, el sistema se ralentizará y aparecerá un pequeño cuadro negro en la esquina inferior izquierda de la máquina, como es común entre la mayoría de las variantes de Jerusalén.
- Jerusalem 11-30: Este virus infecta archivos .COM, .EXE y superpuestos, pero no COMMAND.COM. El virus infecta los programas a medida que se utilizan y hace que los archivos .COM infectados aumenten de tamaño en 2000 bytes y los archivos .EXE de 2000 a 2014 bytes. Sin embargo, a diferencia del virus Jerusalem original, no vuelve a infectar los archivos .EXE. [14]
- Jerusalem-Apocalypse: Este virus, desarrollado en Italia, infecta los programas a medida que se ejecutan e inserta el texto "Apocalypse!!" en los archivos infectados. Hace que los archivos .COM infectados aumenten de tamaño en 1.813 bytes y los .EXE de 1.808 a 1.822 bytes. Puede volver a infectar archivos .EXE y aumentará el tamaño de los archivos .EXE ya infectados en 1.808 bytes. [10]
- Jerusalem-VT1: Si el virus reside en la memoria, eliminará cualquier archivo que se ejecute el martes 1. [10]
- Jerusalem-T13: El virus hace que los archivos .COM y .EXE aumenten de tamaño en 1.812 bytes. Si el virus reside en la memoria, eliminará cualquier programa que se ejecute el martes 13.
- Jerusalén-Sábado13: Si el virus reside en la memoria, eliminará cualquier programa que se ejecute el sábado 13.
- Jerusalem-Czech: El virus infecta archivos .COM y .EXE, pero no COMMAND.COM. Hace que los archivos .COM infectados crezcan en 1.735 bytes y los archivos .EXE en 1.735-1.749 bytes. No eliminará los programas que se ejecuten el viernes 13. Jerusalem-Czech tiene un código de auto-reconocimiento y una colocación de código que difieren del Jerusalem original, y con frecuencia se detecta como una variante del domingo. [10]
- Jerusalem-Nemesis: Este virus inserta las cadenas "NEMESIS.COM" y "NOKEY" en los archivos infectados. [10]
- Jerusalem-Captain Trips: Jerusalem-Captain Trips contiene las cadenas "Captain Trips" y "SPITFIRE". Captain Trips es el nombre de la plaga apocalíptica descrita en la novela The Stand de Stephen King . Si el año es cualquier otro que no sea 1990 y el día es un viernes del día 15 o posterior, Jerusalem-Captain Trips crea un archivo vacío con el mismo nombre que cualquier programa ejecutado ese día. El día 16, Jerusalem-Captain Trip reprograma el controlador de video y en varias otras fechas instala una rutina en el tic del temporizador que se activa cuando pasan 15 minutos. Jerusalem-Captain Trips tiene varios errores. [10]
- Jerusalem-J: La variante hace que los archivos .COM aumenten de tamaño en 1237 bytes y los archivos .EXE en aproximadamente 1232 bytes. El virus no tiene "efectos Jerusalén" y su origen está en Hong Kong . [5]
- Jerusalem-Yellow (bloque creciente): Jerusalem-Yellow infecta archivos .EXE y .COM. Los archivos .COM infectados crecen en 1363 bytes y los archivos .EXE en 1361-1375 bytes. Jerusalem-Yellow crea un gran cuadro amarillo con una sombra en el medio de la pantalla y el equipo se bloquea. [15]
- Jerusalén-25 de enero: si el virus reside en la memoria, se activará el 25 de enero y eliminará todos los programas que se ejecuten ese día. Además, no vuelve a infectar los archivos .EXE. [10]
- Skism: El virus se activa cualquier viernes después del día 15 del mes y hace que los archivos .COM infectados aumenten de tamaño en 1.808 bytes y los archivos .EXE infectados de 1.808 a 1.822 bytes. Además, puede volver a infectar archivos .EXE. [10]
- Carfield (Jeru-Carfield): el virus hace que los archivos infectados aumenten de tamaño en 1.508 bytes. Si el virus reside en la memoria y el día es lunes, el ordenador mostrará la cadena "Carfield!" cada 42 segundos. [16]
- Mendoza (Jerusalén Mendoza): El virus no hace nada si el año es 1980 o 1989, pero para todos los demás años se activa una bandera si el virus reside en la memoria y si el contador de motores del disquete es 25. La bandera se activará si un programa se ejecuta desde un disquete. Si la bandera está activada, se eliminan todos los programas que se ejecutan. Si la bandera no está activada y pasan 30 minutos, el cursor cambia a un bloque. Después de una hora, las teclas Bloq Mayús, Bloq Num y Bloq Despl se desactivan. Además, no vuelve a infectar archivos .EXE. [10]
- Einstein: Esta es una variante pequeña, de sólo 878 bytes, e infecta archivos .EXE. [5]
- Moctezuma: Esta variante del virus tiene 2.228 bytes y está cifrada. [5]
- Century: Esta variante es una bomba lógica con fecha de activación el 1 de enero de 2000 que supuestamente mostraba el mensaje "Bienvenido al siglo XXI". Sin embargo, nadie está seguro de la legitimidad del virus, ya que nadie lo ha visto. [5]
- Danubio: El virus Danubio es una variante única de Jerusalén, ya que ha evolucionado más allá de Jerusalén y solo refleja muy pocas partes de ella. Este virus es un virus multipartito, por lo que tiene varios métodos por los cuales puede infectar y propagarse: sectores de arranque de disco, así como archivos .COM y .EXE. Debido a esto, la forma en que funciona el virus depende del origen del virus (sector de arranque o programa). Cuando se ejecuta un programa contaminado, el virus reside en la memoria, ocupando 5 kB. Además, verificará si también reside en el sector de arranque activo y colocará una copia de sí mismo allí si no estaba presente antes. Cuando se inicia un equipo desde un sector/disco de arranque contaminado, el virus se colocará en la memoria antes de que se cargue el sistema operativo. Reserva 5 kB de memoria base DOS y reserva 5 sectores en cualquier disco que infecte. [5]
- HK: Esta variante de Jerusalén tiene su origen en Hong Kong y hace referencia a una de las escuelas técnicas de Hong Kong en su código. [5]
- Jerusalem-1767: Este virus infecta archivos .EXE y .COM, y si se ejecuta, infectará a COMMAND.COM. Hace que los archivos .COM crezcan en 1767 bytes y los .EXE en 1767-1799 bytes. Los archivos infectados incluyen las cadenas "**INFECTED BY FRIDAY 13th**" o "COMMAND.COM". [17]
- Jerusalem-1663: Este virus infecta archivos .EXE y .COM, incluido COMMAND.COM. Una vez que reside en la memoria, infecta los programas a medida que se ejecutan. Hace que los archivos .COM y .EXE aumenten de tamaño en 1.663 bytes, pero no puede reconocer los archivos infectados, por lo que puede volver a infectar tanto los archivos .COM como los .EXE. [18]
- Jerusalén-Haifa: Este virus infecta archivos .EXE y .COM, pero no COMMAND.COM. Hace que los archivos .COM crezcan en 2178 bytes y los archivos .EXE en 1960-1974 bytes. Su nombre se debe a que la palabra hebrea para Haifa , una ciudad israelí, está en el código del virus. [19]
- Phenome: Este virus es similar a la variante Apocalypse, pero infecta a COMMAND.COM. Solo se activa los sábados y no permite al usuario ejecutar programas. Contiene la cadena "PHENOME.COM" y "MsDos". [10]
Véase también
Referencias
- ^ ab שלומי, רועי (2 de febrero de 2006). "מבט לאחור: הווירוס הישראלי הראשון". ynet (en hebreo) . Consultado el 10 de marzo de 2019 .
- ^ "Jerusalén". ESET . Consultado el 9 de febrero de 2013 .
- ^ ab "Episodio 35 - El virus de Jerusalén - Podcast Malicious Life". Malicious Life . Consultado el 10 de marzo de 2019 .
- ^ "Jerusalén, 1808". Symantec . Archivado desde el original el 3 de abril de 2019 . Consultado el 10 de marzo de 2019 .
- ^ abcdefghijk «Descripción de Jerusalén | F-Secure Labs». www.f-secure.com . Consultado el 10 de marzo de 2019 .
- ^ "JERUSALÉN - Enciclopedia de amenazas - Trend Micro US" www.trendmicro.com . Consultado el 27 de marzo de 2019 .
- ^ abcd DaBoss (27 de febrero de 2013). «Capítulo 6 Lehigh/Jerusalén». Conocimiento informático . Consultado el 10 de marzo de 2019 .
- ^ "Virus del domingo". VSUM . Consultado el 14 de febrero de 2013 .
- ^ "La Organización WildList Internacional". www.wildlist.org . Archivado desde el original el 2016-12-01 . Consultado el 2021-09-15 .
- ^ abcdefghij "VSUM en línea - Virus de Jerusalén". wiw.org . Consultado el 27 de marzo de 2019 .
- ^ "VSUM en línea - Virus 1720". wiw.org . Consultado el 27 de marzo de 2019 .
- ^ "VSUM en línea - Virus Frere Jacques". wiw.org . Consultado el 27 de marzo de 2019 .
- ^ "VSUM en línea - Virus Westwood". wiw.org . Consultado el 27 de marzo de 2019 .
- ^ "VSUM en línea - Virus Jerusalén 11-30". wiw.org . Consultado el 27 de marzo de 2019 .
- ^ "Online VSUM - Virus de bloques en crecimiento". wiw.org . Consultado el 27 de marzo de 2019 .
- ^ "JERUSALEM-10 - Enciclopedia de amenazas - Trend Micro US" www.trendmicro.com . Consultado el 27 de marzo de 2019 .
- ^ "VSUM en línea - Virus de Jerusalén 1767". wiw.org . Consultado el 27 de marzo de 2019 .
- ^ "VSUM en línea - Virus de Jerusalén 1663". wiw.org . Consultado el 27 de marzo de 2019 .
- ^ "VSUM en línea - Virus Jerusalén-Haifa". wiw.org . Consultado el 27 de marzo de 2019 .
Enlaces externos
- El ascenso y la caída de Jerusalén, capítulo de un informe de investigación sobre el virus de IBM
- Descripción del virus Jerusalén de la empresa antivirus Sophos
- Descripción de la empresa antivirus Network Associates sobre el virus Jerusalem
- Jerusalén, 1808
- Virus de Jerusalén
- Descripción de McAfee de Westwood
- Lista salvaje
- Boletín de virus