home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / virus / 3451 < prev    next >
Encoding:
Internet Message Format  |  1992-07-21  |  3.3 KB
  1. Path: sparky!uunet!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: rslade@sfu.ca (Robert Slade)
  3. Newsgroups: comp.virus
  4. Subject: Jerusalem virus part 1 (CVP)
  5. Message-ID: <0014.9207211508.AA11928@barnabas.cert.org>
  6. Date: 18 Jul 92 19:22:41 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 57
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. HISVIR3.CVP   920714
  12.  
  13.                    The "Jerusalem" virus - part 1
  14.  
  15. In the MS-DOS world the Stoned virus is currently the most successful
  16. virus in terms of the number of infections (copies or reproductions)
  17. that the virus has produced.  (Boot sector viral programs seem to
  18. have an advantage among microcomputer users.)  Among file infecting
  19. viral programs, however, the Jerusalem virus is the clear winner.  It
  20. has another claim to fame as well.  It almost certainly has the
  21. largest number of variants of any virus program known to date.
  22.  
  23. Initially known as the "Israeli" virus, the version reported by Y.
  24. Radai in early 1988 (also sometimes referred to as "1813" or
  25. Jerusalem-B) tends to be seen as the "central" virus in the family. 
  26. Although it was the first to be very widely disseminated, and was the
  27. first to be "discovered" and publicized, internal examination
  28. suggests that it was, itself, the outcome of previous viral
  29. experiments.  Although one of the oldest viral programs, the
  30. Jerusalem family still defies description, primarily because the
  31. number of variants makes it very difficult to say anything about the
  32. virus for sure.  The "Jerusalem" that you have may not be the same as
  33. the "Jerusalem" of your neighbour.
  34.  
  35. A few things are common to pretty much all of the Jerusalem family. 
  36. They are file, or program, infecting viri, generally adding
  37. themselves to both COM and EXE files.  When an infected file is
  38. executed, the virus "goes resident" in memory, so that it remains
  39. active even after the original infected program is terminated. 
  40. Programs run after the program is resident in memory are infected by
  41. addition of the virus code to the end of the file, with a redirecting
  42. jump added to the beginning of the program.  Most of the family carry
  43. some kind of "date" logic bomb payload, often triggered on Friday the
  44. 13th.  Sometimes the logic bomb is simply a message, often it deletes
  45. programs as they are invoked.
  46.  
  47. David Chess has noted that it is a minor wonder the program has
  48. spread as far as it has, given the number of bugs it contains. 
  49. Although it tends to work well with COM files, the differing
  50. structure of EXE files has presented Jerusalem with a number of
  51. problems.  The "original Jerusalem", not content with one infection,
  52. will "reinfect" EXE files again and again so that they continually
  53. grow in size.  (This tends to nullify the advantage that the
  54. programmer built in when he ensured that the file creation date was
  55. "conserved" and unchanged in an infected file.)  Also, EXE programs
  56. which use internal loaders or overlay files tend to be infected "in
  57. the wrong place", and have portions of the original program
  58. overwritten.
  59.  
  60. copyright Robert M. Slade, 1992   HISVIR3.CVP   920714
  61.  
  62. ==============
  63. Vancouver      ROBERTS@decus.ca         | "Don't buy a
  64. Institute for  Robert_Slade@sfu.ca      |     computer."
  65. Research into  rslade@cue.bc.ca         | Jeff Richards'
  66. User           p1@CyberStore.ca         | First Law of
  67. Security       Canada V7K 2G6           | Data Security
  68.