エルサレム（コンピューターウイルス）

エルサレムは、 1987年10月にエルサレムのヘブライ大学で初めて検出された論理爆弾型のDOSウイルスです。^{[ 1 ]}感染すると、エルサレムウイルスはメモリ常駐（2KBのメモリを使用）になり、COMMAND.COMを除く実行されるすべての実行ファイルに感染します。^{[ 2 ]} COMファイルは、エルサレムに感染すると1,813バイト大きくなり、再感染することはありません。実行ファイルは感染するたびに1,808～1,823バイト大きくなり、ファイルがロードされるたびに再感染し、メモリにロードできないほど大きくなります。一部の.EXEファイルは感染しますが、同じファイル内で本物の.EXEファイルの後に複数のオーバーレイが続くため、大きくなりません。場合によっては、.EXEファイルが誤って感染し、プログラムが実行されるとすぐに実行に失敗することがあります。

ウイルスコード自体は、割り込み処理やその他の低レベルDOSサービスにフックします。例えば、ウイルスがフロッピーディスクなどの読み取り専用デバイス上のファイルに感染できない場合、ウイルスのコードはコンソールメッセージの出力を抑制します。コンピュータが感染していることを示す手がかりの一つは、よく知られているメッセージ「 Bad command or file name 」が「Bad Command or file name」と誤って大文字化されていることです。

エルサレムウイルスは、当時の他のウイルスとは一線を画す、ロジックボムと呼ばれるウイルスです。1987年を除く毎年1​​3日の金曜日に起動するように設定されています（最初の起動日は1988年5月13日）。 ^{[ 3 ]}起動すると、その日に実行されたプログラムをすべて削除するだけでなく、^{[ 4 ]} EXEファイルに繰り返し感染し、コンピュータの容量を超えるまで感染を続けます。^{[ 5 ]}この機能は、エルサレムのすべての亜種に備わっているわけではありませんが、システムが感染してから30分後に起動し、感染したコンピュータの動作を著しく低下させ、検出を容易にします。^{[ 5 ] [ 6 ]}エルサレムは、ペイロードシーケンス中に表示される黒いボックスから「ブラックボックス」とも呼ばれています。システムがテキストモードの場合、エルサレムは5行5列目から16行16列目まで小さな黒い四角形を作成します。ウイルスが起動してから30分後、この四角形は2行上に移動します。^{[ 5 ]}

ウイルスが低レベルのタイマー割り込みにフックをかける結果、PC-XTシステムはウイルスがインストールされてから30分後に通常の5分の1の速度まで低下します。ただし、高速マシンではこの低下はそれほど顕著ではありません。ウイルスには、プロセッサのタイマーが作動するたびに処理ループに入るコードが含まれています。

症状には、ワークステーションがネットワークから突然切断されたり、プリンタのスプールファイルが大きく作成されたりすることもあります。Jerusalem は、 Novell NetWareやその他のネットワーク実装がファイルシステムへのフックに必要な 「割り込み 21h」という低レベル DOS 関数を使用しているため、切断が発生します。

エルサレムは当初（当時のウイルスとしては非常に一般的で）、多数の亜種を生み出しました。しかし、Windowsの登場以降、これらのDOS割り込みは使用されなくなったため、エルサレムとその亜種は廃れてしまいました。

• ウイルスの長さが 1808 バイトであるため、1808(EXE) となります。
• ウイルスの長さが1813バイトであるため、1813(COM)と呼ばれています。^{[ 7 ]}
• Friday13th (注: この名前は、エルサレムとは無関係の 2 つのウイルス (Friday-13th-440/Omega および Virus-B) を指す場合もあります)。これは、13 日の金曜日がトリガー日であるためです。
• ヘブライ大学に通う学生によって発見されたヘブライ大学。^{[ 1 ]}
• イスラエル
• PLOは、パレスチナが国家として存在した最後の日である1948年5月13日のイスラエル独立記念日の前日を記念してパレスチナ解放機構によって設立されたと信じられているためである。 ^{[ 7 ]}
• ロシア
• 土曜日14日
• sUMsDosはウイルスのコードの一部を指します。^{[ 7 ]}

• Get Password 1 (GP1): 1991年に発見されたこのNovell NetWare特有のウイルスは、ユーザーのログイン時にNetWare DOSシェルのメモリからパスワードを収集し、ネットワーク上の特定のソケット番号にブロードキャストします。このソケット番号にブロードキャストされたコンパニオンプログラムがパスワードを復元します。このウイルスはNovell 2.x以降のバージョンでは動作しません。^{[ 5 ]}
• Surivウイルス： Jerusalemウイルスの初期、より原始的なウイルス。JerusalemウイルスはSuriv-3をベースにしていると考えられています。Suriv-3は13日の金曜日に起動し、13日にコンピュータの電源を切るロジックボムです。Suriv-3自体は、 4月1日（エイプリルフール）に起動し、「4月1日、ハハハ、ウイルスに感染した！」というテキストを表示するロジックボムであるSuriv-1とSuriv-2をベースとしています。^{[ 3 ]} Suriv-1は.COMファイルに、Suriv-2は.EXEファイルに感染しますが、Suriv-3は両方のファイルに感染します。これらのウイルスの名前は、「virus」を逆から綴ったものに由来しています。^{[ 7 ]}
• サンデー（Jeru-Sunday）： 1989年11月^{[ 8 ]}、米国ワシントン州シアトルとその周辺地域 から同時に複数の報告があった後に発見されました。AirCopを含むシアトルで発生した他のいくつかのウイルスは、後にアジアで発生したことが判明しました。サンデーは、ファイル感染方法において標準的なパッチを当てたJerusalemの亜種です。プログラムファイルウイルスの一種で、.EXE、.COM、および.OVLファイルに感染します。オリジナルのJerusalemと同様に、感染ファイルは破損することがあります。サンデーはオリジナルのJerusalemよ​​りも識別が困難です。これは、修正されたエラーと、ペイロードの記述が不十分で実行に失敗するためです。「Sunday」の大文字表記は「Sunday」または「SunDay」と様々に報告されており、亜種によって異なります。コンピュータウイルスを追跡する組織であるWildListは、リスト作成直後から1998年まで、サンデーを様々な形で拡散しているとリストに載せていました^{[ 9 ]。}他のDOSウイルスと同様に、サンデーはWindows の登場とともに被害を受けました。このウイルスは現在では時代遅れとみなされていますが、以前は活動停止状態だったファイルの使用によって感染が広がるほど広く蔓延していました。しかし、局所的な感染拡大以外、何が起こるかは考えにくいです。
  • COMフ​​ァイルとEXEファイルはサイズが増加します（1,636バイト）。COMファイルは一定量増加しますが、EXEファイルは一定量から9～10バイト減少する程度増加します。オリジナルのJerusalemとは異なり、ファイルは何度も感染することはありません。
  • 割り込み21 がフックされます。
  • 感染したファイルには、「今日は日曜日です。なぜそんなに一生懸命働くのですか?仕事ばかりで遊ばないと退屈な人になります! さあ! 出かけて楽しんでください!」という文字列が含まれます。
  • コーディングのエラーのため、ウイルスは 1989 年を除く毎年日曜日に起動することを目的としたペイロードを実行できません。これは、以前に指示されたテキストを画面に印刷し、ウイルスがメモリに常駐している間に実行されるすべてのファイルを削除することであり、元のエルサレムが毎週 13 日の金曜日に実行していたのと同じです。
• 日曜日の変種
  • Sunday.a:オリジナルの Sunday ウイルス。
  • Sunday.b:プログラム削除機能を備えた Sunday のバージョンです。
  • Sunday.1.b: Sunday.b の改良版で、書き込み保護されたディスクで問題を引き起こす重大なエラー ハンドラーに関するバグを修正しました。
  • Sunday.1.Tenseconds: Sunday.a のバリエーションで、メッセージ間の遅延を 10 秒に保ち、日曜日を 7 日目ではなく 0 日目に設定します。
  • Sunday.2: Sunday.a の亜種で、ファイルのサイズが元の 1,636 バイトではなく 1,733 バイト増加します。
• アナルキア：アナルキアの発動日は13日火曜日で、自己認識コード「アナルキア」を使用する。^{[ 10 ]}
• PSQR (1720): PQSRは.COMファイルと.EXEファイルに感染しますが、オーバーレイファイルやCOMMAND.COMファイルには感染しません。感染した.COMファイルは1,720バイト、.EXEファイルは1,719～1,733バイト増加します。13日の金曜日に活動を開始し、その日に実行されたファイルをすべて削除します。マスターブートレコード（ MBR）とMBR以降の9つのセクターにゴミデータが書き込まれます。ウイルスはファイルの末尾にある「PQSR」を自己認識コードとして使用します。^{[ 11 ]}
• フレール：フレールは金曜日にフレール・ジャックと対戦します。 ^{[ 5 ]}感染した.COMファイルのサイズは1,813バイト、.EXEファイルのサイズは1,808～1,822バイト増加しますが、COMMAND.COMには感染しません。^{[ 12 ]}
• Westwood（Jerusalem-Westwood; Jeru.Westwood.1829）Westwoodは、ファイルのサイズを1,829バイト増加させます。ウイルスがメモリ常駐の場合、Westwoodは13日の金曜日に実行されたファイルをすべて削除します。 ^{[ 13 ]}このウイルスは、UCLAの工学部の学生が、新しいマザーボードに同梱されていた「speed.com」プログラムのコピーから発見しました。1990年8月、カリフォルニア州ロサンゼルスのWestwoodで発見されました。ウイルス感染は、 Microsoft Wordの初期バージョンが内部チェックサムエラーを報告し、実行に失敗した際に初めて確認されました。COMMAND.COMを除く、 COM、 EXE、またはOVL形式のファイルは、実行時に感染しますの感染メカニズムは、オリジナルのJerusalemのものよりも改良されています。オリジナルのJerusalemは、ファイルがとんでもないサイズになるまで再感染を繰り返していました。Westwoodは一度しか感染しません。ほとんどのJerusalem亜種と同様に、Westwoodには破壊的なペイロードが含まれています。毎週13 日の金曜日には、割り込み 22 がフックされ、この日にウイルスがメモリに常駐している間に実行されたすべてのプログラムが削除されます。 Westwood は機能的には Jerusalem に似ていますが、コーディングは多くの点で大きく異なります。このため、オリジナルの Jerusalem を検出するために使用されたウイルス除去シグネチャを、Westwood を検出するために変更する必要がありました。 Virus Bulletin などの組織は、Westwood を使用して、ウイルス スキャナーが Jerusalem の亜種を区別する能力をテストしていました。 WildList は、Westwood が現場で使用されていることを報告したことはありませんでした。ただし、ウイルスが Westwood のコミュニティに感染した後に、その分離が行われました。 Westwood がカリフォルニア外にどの程度広がっているかは不明です (隣接する州では数件の報告があります)。特に、Westwood は Jerusalem と誤診されやすいためです。 Windowsの登場以来、成功した Jerusalem の亜種でさえもますます珍しくなっています。そのため、Westwood は古いものと見なされています。その特性は次のとおりです。
  • 実行される COM ファイルのサイズは 1,829 バイト増加し、EXE ファイルと OVL ファイルのサイズは 1,819 ～ 1,829 バイト増加します。
  • 割り込み8 と 21 がフックされ、13 日の金曜日には割り込み 22 もフックされます。
  • ウイルスがメモリに常駐してから 30 分後、システムの速度が低下し、マシンの左下隅に小さな黒いボックスが表示されます。これは、ほとんどのエルサレムの変種で共通しています。
• エルサレム11-30：このウイルスは.COM、.EXE、オーバーレイファイルに感染しますが、COMMAND.COMには感染しません。このウイルスはプログラムが使用されると感染し、感染した.COMファイルは2,000バイト、.EXEファイルは2,000～2,014バイトサイズが増加します。ただし、オリジナルのエルサレムウイルスとは異なり、.EXEファイルには再感染しません。^{[ 14 ]}
• Jerusalem-Apocalypse： イタリアで開発されたこのウイルスは、プログラムの実行時に感染し、感染ファイルに「Apocalypse!!」というテキストを挿入します。感染した.COMファイルは1,813バイト、.EXEファイルは1,808～1,822バイト増加します。また、.EXEファイルへの再感染が可能で、既に感染している.EXEファイルのサイズを1,808バイト増加させます。^{[ 10 ]}
• Jerusalem-VT1:ウイルスがメモリ常駐の場合、1日の火曜日に実行されたファイルをすべて削除します。^{[ 10 ]}
• Jerusalem-T13：このウイルスは、.COMファイルと.EXEファイルのサイズを1,812バイト増加させます。メモリ常駐型ウイルスの場合、13日火曜日に実行されたプログラムをすべて削除します。
• Jerusalem-Sat13:ウイルスがメモリに常駐している場合、13 日の土曜日に実行されたすべてのプログラムを削除します。
• Jerusalem-Czech：このウイルスは.COMファイルと.EXEファイルに感染しますが、COMMAND.COMファイルには感染しません。感染した.COMファイルは1,735バイト、.EXEファイルは1,735～1,749バイト増加します。13日の金曜日に実行されたプログラムは削除しません。Jerusalem-Czechは、自己認識コードとコード配置がオリジナルのJerusalemとは異なるため、日曜日の亜種として頻繁に検出されます。^{[ 10 ]}
• エルサレム・ネメシス：このウイルスは感染したファイルに「NEMESIS.COM」と「NOKEY」という文字列を挿入します。^{[ 10 ]}
• エルサレム-キャプテン・トリップス：エルサレム-キャプテン・トリップスには、「キャプテン・トリップス」と「スピットファイア」という文字列が含まれています。キャプテン・トリップスは、スティーブン・キングの小説『ザ・スタンド』に登場する終末的な疫病の名前です。1990年以外で、15日以降の金曜日の場合、エルサレム-キャプテン・トリップスは、その日に実行されたプログラムと同じ名前の空のファイルを作成します。16日には、エルサレム-キャプテン・トリップスはビデオコントローラを再プログラムし、他のいくつかの日には、15分経過時に起動するタイマーティックにルーチンをインストールします。エルサレム-キャプテン・トリップスにはいくつかのエラーがあります。^{[ 10 ]}
• Jerusalem-J：この亜種は、.COMファイルのサイズを1,237バイト、.EXEファイルのサイズを約1,232バイト増加させます。このウイルスには「エルサレム効果」はなく、香港で発生しました。^{[ 5 ]}
• エルサレム・イエロー（Growing Block）：エルサレム・イエローは.EXEファイルと.COMファイルに感染します。感染した.COMファイルは1,363バイト、.EXEファイルは1,361～1,375バイトずつサイズが増加します。エルサレム・イエローは画面中央に影付きの大きな黄色いボックスを作成し、コンピューターをハングアップさせます。^{[ 15 ]}
• エルサレム-1月25日：ウイルスがメモリ常駐型の場合、1月25日に起動し、その日に実行されたプログラムをすべて削除します。また、.EXEファイルには再感染しません。^{[ 10 ]}
• Skism：このウイルスは毎月15日以降の金曜日に活性化し、感染した.COMファイルのサイズを1,808バイト、感染した.EXEファイルのサイズを1,808～1,822バイト増加させます。さらに、.EXEファイルへの再感染も可能です。^{[ 10 ]}
• カーフィールド（ジェルー・カーフィールド）：このウイルスは感染ファイルのサイズを1,508バイト増加させます。ウイルスがメモリに常駐し、月曜日の場合、コンピュータは42秒ごとに「カーフィールド！」という文字列を表示します。^{[ 16 ]}
• メンドーサ（エルサレム・メンドーサ）：ウイルスは1980年または1989年の場合は何もしませんが、それ以外の年の場合は、ウイルスがメモリに常駐し、フロッピーディスクのモーターカウントが25の場合にフラグが設定されます。このフラグは、フロッピーディスクからプログラムを実行すると設定されます。フラグが設定されている場合、実行されたすべてのプログラムが削除されます。フラグが設定されていない場合、30分が経過すると、カーソルがブロックに変わります。1時間後、Caps Lock、Nums Lock、Scroll Lockは「オフ」になります。また、.EXEファイルには再感染しません。^{[ 10 ]}
• アインシュタイン：これは878バイトの小さな亜種で、.EXEファイルに感染します。^{[ 5 ]}
• Moctezuma:この亜種ウイルスは2,228バイトで暗号化されています。^{[ 5 ]}
• Century：この亜種は、2000年1月1日に起動するロジックボムで、「21世紀へようこそ」というメッセージを表示するはずでした。しかし、誰もこのウイルスを見たことがなく、その正当性は不明です。^{[ 5 ]}
• Danube： DanubeウイルスはJerusalemウイルスの亜種であり、Jerusalemを超えて進化し、そのごく一部しか反映していません。このウイルスは多分割型ウイルスであるため、ディスクのブートセクタ、.COMファイル、.EXEファイルなど、複数の感染・拡散方法を持っています。そのため、ウイルスの動作は、ウイルスの出所（ブートセクタまたはプログラム）によって異なります。感染したプログラムが実行されると、ウイルスはメモリに常駐し、5KBを占有します。さらに、アクティブなブートセクタにも自身のコピーが存在するかどうかを確認し、以前に存在していなかった場合はそこに自身のコピーを配置します。感染したブートセクタ/ディスクからコンピュータを起動すると、ウイルスはオペレーティングシステムが読み込まれる前にメモリに自身を配置します。DOSベースメモリの5KBを確保し、感染したディスクの5セクタを確保します。^{[ 5 ]}
• HK:このエルサレムの変種は香港に由来し、そのコードには香港の専門学校の一つが言及されています。^{[ 5 ]}
• Jerusalem-1767:このウイルスは.EXEファイルと.COMファイルに感染し、実行されるとCOMMAND.COMファイルにも感染します。.COMファイルは1,767バイト、.EXEファイルは1,767～1,799バイト増加します。感染ファイルには「**INFECTED BY FRIDAY 13th**」または「COMMAND.COM」という文字列が含まれます。^{[ 17 ]}
• Jerusalem-1663：このウイルスは、COMMAND.COMを含む.EXEファイルと.COMファイルに感染します。メモリに常駐すると、実行中のプログラムに感染します。.COMファイルと.EXEファイルのサイズが1,663バイト増加しますが、感染ファイルを認識できないため、.COMファイルと.EXEファイルの両方に再感染する可能性があります。^{[ 18 ]}
• エルサレム・ハイファ：このウイルスは.EXEファイルと.COMファイルに感染しますが、COMMAND.COMファイルには感染しません。.COMファイルは2,178バイト、.EXEファイルは1,960～1,974バイト増加します。ウイルス名は、ウイルスコードにイスラエルの都市ハイファを意味するヘブライ語が含まれていることに由来します。 ^{[ 19 ]}
• Phenome：このウイルスはApocalypse亜種に類似していますが、COMMAND.COMに感染します。土曜日にのみ活性化し、ユーザーがプログラムを実行することはできません。文字列「PHENOME.COM」と「MsDos」が特徴です。^{[ 10 ]}

• コンピュータウイルスとワームのタイムライン

• エルサレムの興亡、IBMのウイルス研究報告書の一章
• ウイルス対策会社ソフォスによるエルサレムウイルスに関する説明
• ウイルス対策会社Network Associatesによるエルサレムウイルスに関する説明
• エルサレム。1808年
• エルサレムウイルス
• McAfeeによるWestwoodの説明
• WildList 2016年12月1日アーカイブ- Wayback Machine
• ウイルス速報