Jerusalem es un virus informático con una bomba lógica , descubierto por primera vez en la Universidad Hebrea de Jerusalem en octubre de 1987 [1] . Cuando se infecta , el virus se vuelve residente, usa 2 KB de memoria y luego infecta todos los archivos ejecutables cuando se inicia, excepto COMMAND.COM [2] . Los archivos COM crecen en 1813 bytes cuando se infectan con un virus y no se vuelven a infectar. archivos EXEaumentar en 1808-1823 bytes en cada infección y luego volver a infectar en cada ejecución hasta que sean demasiado grandes para cargarlos en la memoria. Algunos archivos .EXE infectados no aumentan de tamaño. A veces, los archivos EXE se corrompen después de infectarse, lo que hace que el programa se bloquee o se congele inmediatamente después de iniciarse.
El código del virus Jerusalem utiliza interrupciones (int) y otras características de bajo nivel del sistema operativo MS-DOS . Por ejemplo, un virus suprime la salida de la consola si no puede infectar un archivo en un dispositivo de solo lectura, como un disquete . Uno de los signos de infección informática es la ausencia de la letra B mayúscula en el conocido mensaje del sistema "Comando o nombre de archivo incorrecto".
El virus de Jerusalén es único entre otros virus de la época en que se suponía que la bomba lógica explotaría el viernes 13 en todos los años calendario excepto 1987 [3] . Una vez lanzado, el virus no solo elimina todos los programas que se ejecutan ese día [4] , sino que también infecta archivos EXE varias veces hasta que superan el tamaño máximo permitido para la computadora [5] . Esta característica, que no se incluyó en todas las modificaciones de Jerusalem, funciona 30 minutos después de que el sistema está infectado, lo que ralentiza significativamente la computadora infectada y facilita la detección del virus [5] [6] . Jerusalén también se conoce como la "Caja Negra" debido al efecto visual que muestra durante su funcionamiento. Si el sistema está en modo texto, el virus crea un pequeño rectángulo negro desde la línea 5, columna 5 hasta la línea 16, columna 16. Treinta minutos después de que se activa el virus, este rectángulo se desplaza hacia arriba dos líneas [5] .
Conectar un virus a una interrupción del temporizador de bajo nivel en el sistema PC/XT lo ralentiza a una quinta parte de su velocidad normal 30 minutos después del arranque, aunque la ralentización es menos notoria en máquinas más rápidas. El virus contiene un código que ingresa al ciclo de procesamiento cada vez que se activa el temporizador del procesador.
Los síntomas de infección también incluyen la desconexión espontánea de las estaciones de trabajo de la red local y la creación de archivos de gran tamaño en la cola de impresión de la impresora. Las interrupciones de la conexión se producen debido al uso de interrupciones DOS int 21h de bajo nivel por parte del virus, que utiliza Novell NetWare y otras implementaciones de red para conectarse al sistema de archivos.
En un principio, Jerusalem era muy habitual entre los virus informáticos de la época, dando lugar a un gran número de variantes. Sin embargo, desde la llegada de Windows , las interrupciones de DOS utilizadas por el virus ya no se activan, por lo que Jerusalem y sus modificaciones están desactualizadas y no funcionan.
| Ataques de pirateo de la década de 1980 | |
|---|---|
| Virus informáticos | |
| Década de 1980 • Década de 1990 | |