Jerusalem (virus informatico)
Il Jerusalem è uno dei più vecchi (1987) e noti virus informatici comparsi per i sistemi MS-DOS ed il virus con il più alto numero di file infettati.[1]
Il nome trae origini dal fatto che all'epoca si riteneva che il virus avesse fatto la sua prima comparsa in un computer di una università di Gerusalemme. Analisi successive (1991) hanno invece dimostrato che il virus ha fatto la sua prima comparsa in Italia.[2][3]
Descrizione[modifica | modifica wikitesto]
Il Jerusalem era un virus del tipo Terminate and Stay Resident (TSR): una volta che un file con il codice malevolo veniva eseguito, il virus restava residente in memoria (consumando 1.792 byte di RAM[3]) anche dopo la chiusura del programma. A quel punto il virus infettava ogni programma eseguibile .COM o .EXE del sistema. Per un bug nel suo codice, ai file .EXE già infettati era comunque allegato il codice del virus ad ogni apertura, facendo crescere il file di un valore compreso tra 1.808 e 1.822 durante la prima infezione e di 1.808 byte nelle successive, fino a quando il file raggiungeva dimensioni tali da non poter più essere contenuto nella memoria o nel file system.[3]. I file .COM erano invece infettati una sola volta e la loro dimensione cresceva di 1.813 byte. L'unico file .COM che non veniva infettato era il command.com.[3]
Il virus si agganciava poi ai processi di interrupt del sistema (gli interrupt 8 e 21) e, dopo 30 minuti di esecuzione, rallentava le attività del computer di un fattore 10. Alcune varianti del Jerusalem avevano una "finestra nera", una zona dello schermo in cui, durante il normale scorrimento verticale del testo, i caratteri lì presenti venivano fatti scorrere di 2 righe invece che 1. Il virus aveva poi una bomba logica: se il virus si accorgeva che la data del sistema era un "venerdì 13" allora iniziava a cancellare ogni file che l'utente cercava di aprire.[3]
Dato che diverse varianti del virus non presentavano la finestra nera, il segno più tangibile della presenza del virus, soprattutto su macchine di una certa potenza, non era il rallentamento del sistema ma la crescita esponenziale dei file .EXE.
Nomi alternativi[modifica | modifica wikitesto]
Il Jerusalem fu inizialmente indicato anche come Israeli da Israele, il Paese di cui Gerusalemme è capitale e dove si riteneva avesse fatto la sua prima comparsa. Era anche indicato come 1808, per il numero di byte che aggiungeva ogni volta ad un file .EXE già infetto, o 1813, per quelli aggiunti ai file .COM. Altri nomi comuni erano BlackBox o BlackWindow, per la finestra "scura" che generavano alcune sue varianti sullo schermo, e Friday13th (Venerdì 13), per la data in cui operava la maggior devastazione sul sistema.[3]
Varianti[modifica | modifica wikitesto]
Il Jerusalem è considerato una variante del Suriv 3.00, anche se questo virus è stato scoperto successivamente al Jerusalem. Rispetto a quest'ultimo, il Suriv 3.00 rallenta il computer 30 secondi dopo l'inizio dell'infezione.
Un'altra variante nota del virus è il Sunday. Rispetto al Jerusalem, si attivava ogni domenica e visualizzava il seguente messaggio:
- Today is SunDay! Why do you work so hard?
- All work and no play make you a dull boy!
- Come on! Let's go out and have some fun!
Le varianti esistenti sono numerose. Fra queste è possibile citare "Monctezuma", una variante cifrata, "Danube", che infetta anche il boot sector, "Einstein", una variante molto piccola del virus (solo 878 byte).[4]
Note[modifica | modifica wikitesto]
- ^ La storia dei virus: il Jerusalem, su cknow.com, Computer Knowledge, 09/05/2009. URL consultato il 27/12/2010.
- ^ Il virus Jerusalem, su antivirus.about.com, About.com. URL consultato il 27/12/2010 (archiviato dall'url originale il 17 gennaio 2013).
- ^ a b c d e f Scheda del virus Jerusalem, su home.mcafee.com, McAfee. URL consultato il 27/12/2010.
- ^ Varianti del Jerusalem, su f-secure.com, F-Secure. URL consultato il 27/12/2010.
Voci correlate[modifica | modifica wikitesto]
- (c)Brain, il primo virus per DOS
- Dark Avenger, un altro virus molto contagioso
