Połowa

OneHalf to polimorficzny wirus komputerowy oparty na systemie DOS (hybrydowy infekator rozruchu i plików) odkryty w październiku 1994 roku. Znany jest również jako Slovak Bomber, Freelove lub Explosion-II. Infekuje główny rekord rozruchowy (MBR) dysku twardego oraz wszelkie pliki z rozszerzeniami .COM, .SCR i .EXE. Jednak nie zainfekuje plików, które mają w nazwie SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV lub CHKDSK.

Jest również znany jako jeden z pierwszych wirusów, który zaimplementował technikę „niejednolitej infekcji”, wprowadzoną w Bomber .

OneHalf ma około 20 różnych wariantów, wszystkie z funkcjonalnie podobnym zachowaniem.

Ładunek

OneHalf jest znany ze swojej szczególnej funkcji: przy każdym uruchomieniu szyfruje dwa niezaszyfrowane cylindry dysku twardego użytkownika , a następnie tymczasowo je odszyfrowuje, gdy uzyskuje do nich dostęp. Daje to pewność, że użytkownik nie zauważy, że jego dysk twardy jest szyfrowany w ten sposób, i umożliwia dalsze szyfrowanie. Ukrywa również prawdziwy MBR przed programami na komputerze, aby utrudnić wykrywanie. Szyfrowanie odbywa się przez bitowe XORowanie za pomocą losowo wygenerowanego klucza, który można odszyfrować po prostu przez ponowne XORowanie z tym samym strumieniem bitów. Gdy wirus zaszyfruje połowę dysku i/lub 4, 8, 10, 14, 18, 20, 24, 28 i 30 każdego miesiąca i pod pewnymi innymi warunkami, wirus wyświetli komunikat:

Dis to połowa.

Naciśnij dowolny klawisz, aby kontynuować ...

Usuwanie

Unikalny ładunek OneHalf sprawia, że ​​usuwanie jest trudniejsze: zwykłe usunięcie wirusa i wyczyszczenie MBR pozostawi dane w postaci zaszyfrowanej, co wymaga tworzenia kopii zapasowych w celu ich przywrócenia. W związku z tym potrzebne są specjalne narzędzia do odszyfrowania dysku twardego przed usunięciem wirusa. Jedno z takich narzędzi zostało opracowane dla SAC (Słowackie Centrum Antywirusowe) do wykonania tego zadania.

Linki zewnętrzne

• One_Half: komandor porucznik