OneHalf - это полиморфный компьютерный вирус на основе DOS (гибридный загрузочный и файловый инфектор), обнаруженный в октябре 1994 года. [1] Он также известен как словацкий бомбардировщик, Freelove или Explosion-II. [2] Заражает главную загрузочную запись (MBR) жесткого диска и любые файлы с расширениями .COM, .SCR и .EXE. [3] Однако он не заразит файлы, в имени которых есть SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV или CHKDSK. [4]
Распространенное имя | Одна половина |
---|---|
Техническое название | Одна половина |
Псевдонимы | Словацкий бомбардировщик |
Семья | Одна половина |
Классификация | Вирус |
Тип | ДОС |
Подтип | файловый и загрузочный инфектор |
Изоляция | 1994 г. |
Точка изоляции | Неизвестный |
Начало координат | Словакия |
Он также известен как один из первых вирусов, реализовавших метод «пятнистого заражения», представленный в Bomber .
OneHalf имеет около 20 различных вариантов, все с функционально похожим поведением. [5]
Полезная нагрузка
OneHalf известен своей специфической полезной нагрузкой: при каждой загрузке он шифрует два незашифрованных цилиндра жесткого диска пользователя , но затем временно расшифровывает их при доступе. Это гарантирует, что пользователь не заметит, что его жесткий диск шифруется подобным образом, и позволяет продолжить шифрование. Он также скрывает реальную MBR от программ на компьютере, чтобы затруднить обнаружение. Шифрование выполняется побитовой операцией XOR по случайно сгенерированному ключу, который можно расшифровать просто путем операции XOR с тем же битовым потоком еще раз. После того, как вирус зашифровал половину диска и / или 4, 8, 10, 14, 18, 20, 24, 28 и 30 числа любого месяца и при некоторых других условиях, вирус отобразит сообщение: [4 ]
Дис - половина.
Чтобы продолжить, нажмите любую клавишу ... [6]
Удаление
Уникальная полезная нагрузка OneHalf затрудняет удаление: простое удаление вируса и очистка MBR оставят данные зашифрованными, и для их восстановления потребуется резервное копирование. Таким образом, необходимы специальные инструменты для расшифровки жесткого диска перед удалением вируса. Один из таких инструментов был разработан для SAC (Словацкий антивирусный центр) для выполнения этой работы. [2] [7]
Рекомендации
- ^ «Половина вируса» . ВСУМ . Проверено 13 февраля 2013 года .
- ^ а б "One_Half Описание - F-Secure Labs" . www.f-secure.com .
- ^ «Половина вируса» . Программное обеспечение Proland . Проверено 13 февраля 2013 года .
- ^ а б «Половина - Вирусная энциклопедия» . virus.wikidot.com .
- ^ «Одна половина» . ESET . Проверено 13 февраля 2013 года .
- ^ «Одна половина» . Symantec. Архивировано из оригинального 30 октября 2015 года . Проверено 13 февраля 2013 года .
- ^ "YouTube: danooct1: Virus.DOS.Onehalf Followup / Removal Attempt" . danooct1. 25 сентября 2013 . Проверено 14 декабря 2014 .