home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / ncsa078.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  8.4 KB  |  170 lines
  1.                     ┌─────────────────────────────┐
  2.                     │        VIRUS REPORT         │
  3.                     │       Jerusalem Virus       │
  4.                     └─────────────────────────────┘
  5.  
  6. Synonyms: Israeli, Friday the 13th, Black Hole, Black Box, PLO, 1808
  7. (EXE), 1813 (COM), sUMsDos, Russian.
  8.  
  9. Date of Origin: December 24, 1987 (date first detected in Israel).
  10.  
  11. Place of Origin: Israel.
  12.  
  13. Host Machine: PC compatibles.
  14.  
  15. Host Files: Remains resident. Infects COM, EXE, overlay files.
  16.  
  17. Increase in Size of Infected Files: 1808 bytes for EXE files (usually),
  18. 1813 bytes for COM files.
  19.  
  20. Nature of Damage: Affects system run-time operation. Corrupts program or
  21. overlay files.
  22.  
  23. Detected by: Scanv56+, F-Prot, IBM Scan, Pro-Scan.
  24.  
  25. Removed by: CleanUp, UNVIRUS, IMMUNE, M-J, Scan/D/A, Saturday, F-Prot.
  26.  
  27. Derived from: Suriv03
  28.  
  29. Scan Code: 8E D0 BC 00 07 50 B8 C5 00 50 CB FC 06 2E 8C 06 31 00 2E 8C 06
  30. 39 00 2E 8C 06 3D 00 2E 8C 06 41 00 8C C0. You can also search at offset
  31. 095H for FC B4 E0 CD 21 80 FC E0 73 16.
  32.  
  33.      History: The Jerusalem virus was first discovered at the Hebrew
  34. University in Jerusalem on December 24, 1987, and reported to the virus
  35. research community by Y. Radai of the Hebrew University of Jerusalem.  My
  36. personal suspicion is that the virus was written by a Palestinian, or
  37. other enemy of Israel, and planted within Israel. Israel was declared an
  38. independent state on May 14, 1948. Friday, May 13, 1988 would have been
  39. 40 years in which Palestine was no longer sovereign.  Although it was
  40. detected in late 1987, it contained code to prevent it from going off
  41. until May 13, 1988. Other viruses set to go off on Friday the 13th are
  42. likely copy-cats, whose authors simply thought that Friday the 13th was
  43. unlucky, wanted a trigger date, and thought this would do fine.
  44.  
  45. Operation: This virus is a memory resident infector.  Any "clean
  46. program" run after an infected program is run will become infected.  Both
  47. COM and EXE files are infected. The virus occurs attached to the
  48. beginning of a COM file, or the end of an EXE file.  A COM file also has
  49. the five-byte marker attached to the end.  This marker is usually (but
  50. not always) "MsDos", and is preceeded in the virus by "sU". "sUMsDos" is
  51. not usually found in newer varieties of this virus.  COM files increase
  52. in length by 1813 bytes.  EXE files usually increase by 1808 bytes, but
  53. the displacement at which to write the virus is taken from the length in
  54. the EXE header and not the actual length.  This means that part or all of
  55. this 1808 bytes may be overwritten on the end of the host program.
  56.  
  57.      It becomes memory-resident when the first infected program is run,
  58. and it will then infect every program run except COMMAND.COM.  COM files
  59. are infected once only, EXE files are re-infected each time they are run.
  60.  
  61.  
  62.      Interrupt 8 is redirected. After the system has been infected for
  63. thirty minutes (by running an infected program), an area of the screen
  64. from row 5 column 5 to row 16 column 16 is scrolled up two lines creating
  65. a black two line "window".  From this point a time-wasting loop is
  66. executed with each timer interrupt, slowing the system down by a factor
  67. of 10.
  68.  
  69.      If the system was infected with a system date of Friday the
  70. thirteenth, every program run will be deleted instead.  This will
  71. continue irrespective of the system date until the machine is rebooted. 
  72. The end of the virus, from offset 0600H, is rubbish and will vary from
  73. sample to sample.
  74.  
  75.      Jerusalem contains a flaw which makes it re-infect EXE (but not COM)
  76. files over and over (up to five times or until the file becomes too big
  77. to fit into memory, whichever comes first.) 
  78.  
  79.      The names 1808 and 1813 come from the fact that files grow by 1808 or
  80. 1813 bytes, without changing their date and time or read/write/hidden
  81. attributes.  COMMAND.COM does not grow, to help it avoid detection. In
  82. fact, it seems likely that the disk version of COMMAND.COM is not
  83. modified, but that the in-memory copy of COMMAND.COM is modified when an
  84. infected program is run.
  85.  
  86.      The virus causes some intentional damage:
  87.  
  88. *   there is code in the virus for deleting each program that you run on
  89.     every Friday 13th. On January 13 (Friday), 1989, this virus made a
  90.     shambles of hundreds of PC-compatibles in Britain<Note: Jonathan
  91.     Randal, "Friday the 13th is Unlucky for British Computer Users;
  92.     Software Virus Disrupts IBM PC Programs" The Washington Post,
  93.     January 14, 1989, p. D10.> 
  94.  
  95. *   The virus re-directs interrupt 8 (among others) and one-half hour
  96.     after an infected program loads, the new timer interrupt introduces a
  97.     delay which slows down the processor by a factor of 10. (see figure).
  98.  
  99.      It is difficult to estimate the total dollar value of damage done by
  100. this virus to date. In just one case, reported in the Israeli newspaper
  101. Maariv, it destroyed $15,000 worth of software and two disks in which
  102. 7,000 hours of work had been invested.<Note: Reported by Jonathan
  103. Randal, "Friday the 13th is Unlucky for British Computer Users; Software
  104. Virus Disrupts IBM PC Programs" The Washington Post, January 14, 1989,
  105. p. D10.>
  106.  
  107.      Disinfection can be a complex process.  UNVIRUS will easily
  108. eradicate this virus and 5-6 others as well. IMMUNE will prevent further
  109. infection.
  110.  
  111.      Alternatively, shareware programs written by Dave Chamber and
  112. distributed through bulletin boards under the name M-J may be used. M-J
  113. removes the virus from hard disks; M-JFA removes the virus from floppy
  114. disks that are inserted into the system's A drive; M-JFB removes the
  115. virus from floppy disks that are inserted into the system's B
  116. drive.<Note: The M-J disinfector is successful in removing the Jerusalem
  117. virus in virtually all instances. However, it will destroy, on the
  118. average, one EXE file in ten during the disinfection attempt. It will not
  119. harm COM files. It is recommended that every infected program be
  120. executed after the disinfection process. Programs that have been
  121. disabled during the disinfection process will not execute.>
  122.  
  123.      Alternatively, here is the process for removal:
  124.  
  125. *   power down the system.
  126.  
  127. *   Boot from a write-protected, clean system master diskette.
  128.  
  129. *   Delete all of the infected programs as indicated by VIRUSCAN.
  130.  
  131. *   Replace the programs from original write-protected program
  132.     distribution diskettes.
  133.  
  134. *   Do not execute any program from the infected hard disk until the
  135.     disinfection process is complete.
  136.  
  137. *   After cleaning all hard drives in the infected system, all floppies
  138.     that have come into contact with the system should be SCANned and
  139.     disinfected in the same manner.
  140.  
  141.      Another means of detection: using PCtools or another text search
  142. utility, search for the ASCII string "sUMsDos". This string is present
  143. in all copies of this particular virus strain.
  144.  
  145.  
  146. ╔════════════════════════════════════════════════════════════════════╗
  147. ║  This document was adapted from the book "Computer Viruses",       ║
  148. ║  which is copyright and distributed by the National Computer       ║
  149. ║  Security Association. It contains information compiled from       ║
  150. ║  many sources. To the best of our knowledge, all information       ║
  151. ║  presented here is accurate.                                       ║
  152. ║                                                                    ║
  153. ║  Please send any updates or corrections to the NCSA, Suite 309,    ║
  154. ║  4401-A Connecticut Ave NW, Washington, DC 20008. Or call our BBS  ║
  155. ║  and upload the information: (202) 364-1304. Or call us voice at   ║
  156. ║  (202) 364-8252. This version was produced May 22, 1990.           ║
  157. ║                                                                    ║
  158. ║  The NCSA is a non-profit organization dedicated to improving      ║
  159. ║  computer security. Membership in the association is just $45 per  ║
  160. ║  year. Copies of the book "Computer Viruses", which provides       ║
  161. ║  detailed information on over 145 viruses, can be obtained from    ║
  162. ║  the NCSA. Member price: $44; non-member price: $55.               ║
  163. ║                                                                    ║
  164. ║            The document is copyright (c) 1990 NCSA.                ║
  165. ║                                                                    ║
  166. ║  This document may be distributed in any format, providing         ║
  167. ║  this message is not removed or altered.                           ║
  168. ╚════════════════════════════════════════════════════════════════════╝
  169.  
  170.