home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / virus / 3492 < prev    next >
Encoding:
Internet Message Format  |  1992-07-28  |  3.4 KB
  1. Path: sparky!uunet!elroy.jpl.nasa.gov!sdd.hp.com!mips!darwin.sura.net!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: rslade@cue.bc.ca (Robert Slade)
  3. Newsgroups: comp.virus
  4. Subject: Jerusalem virus part 2 (CVP)
  5. Message-ID: <0020.9207281750.AA19608@barnabas.cert.org>
  6. Date: 23 Jul 92 23:50:00 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 59
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. HISVIR4.CVP   920714
  12.  
  13.                    The "Jerusalem" virus - part 2
  14.  
  15. The history of the Jerusalem virus is every bit as convoluted as its
  16. functionality and family.  The naming alone is a fairly bizarre tale. 
  17. As mentioned before, it was originally called the Israeli virus. 
  18. Although considered unfair by some, it was fairly natural as the
  19. virus had both been discovered and reported from Israel.  (Although
  20. the virus was reported to slow down systems that were infected, it
  21. seems to have been the "continual growth" of EXE files which led to
  22. the detection of the virus.)  In an effort to avoid anti-semitism, it
  23. was referred to by its "infective length" of 1813 bytes.  For COM
  24. files.  For EXE files it was 1808 bytes.  Sometimes.  It varies
  25. because of the requirement that the header of an EXE file is
  26. divisible by 16.  (All quite clear?)
  27.  
  28. One of the early infections was found to be in an office belonging to
  29. the Israeli Defence Forces.  This fact was reported in an Associated
  30. Press article, and, of course, made much of.  It also gave rise to
  31. another alias, the I.D.F. virus.
  32.  
  33. When the virus was first discovered, it was strongly felt that it had
  34. been circulating prior to November of 1987.  The "payload" of file
  35. deletion on Friday the 13th gave rise to conjecture as to why the
  36. logic bomb had not "gone off" on Friday, November 13th, 1987. 
  37. (Subsequent analysis has shown that the virus will activate the
  38. payload only if the year is not 1987.)  The next following "Friday
  39. the 13th" was May 13th, 1988.  Since the last day that Palestine
  40. existed as a nation was May 13th, 1948 it was felt that this might
  41. have been an act of political terrorism.  This led to another alias,
  42. the PLO virus.  (The fact that Israel celebrates its holidays
  43. according to the Jewish calendar, and that the independence
  44. celebrations were slated for three weeks before May 13th in 1988 were
  45. disregarded.  The internal structure of the virus, and the existence
  46. of the sURIV viral programs seems to indicate that any political
  47. correspondence is merely coincidence.)
  48.  
  49. Yet another alias is "sUMsDos", based upon text found in the virus
  50. code itself.  This was, on occasion, corrupted to "sumDOS".
  51.  
  52. The name "Jerusalem" has gained ascendancy, possibly due to the
  53. McAfee SCAN program identification.  (He certainly must be
  54. responsible for the "B" designation for the "original" version.)  Of
  55. course, the great number of variants have not helped any.  Because a
  56. number of the variants are very closely based upon each others code,
  57. the signatures for one variant will often match another, thus
  58. generating even more naming confusion.  This confusion is not unique
  59. to the Jerusalem family, of course, and is an ongoing concern in the
  60. virus research community.
  61.  
  62. copyright Robert M. Slade, 1992   HISVIR4.CVP   920714
  63.  
  64. ============= 
  65. Vancouver      ROBERTS@decus.ca         | "The client interface
  66. Institute for  Robert_Slade@sfu.ca      |  is the boundary of
  67. Research into  rslade@cue.bc.ca         |  trustworthiness."
  68. User           p1@CyberStore.ca         |    - Tony Buckland, UBC
  69. Security       Canada V7K 2G6           | 
  70.