Одна половина - OneHalf

Одна половина основанный на DOS полиморфный Компьютерный вирус (гибридный загрузчик и файловый инфектор), обнаруженный в октябре 1994 года.^[1] Он также известен как словацкий бомбардировщик, Freelove или Explosion-II.^[2] Заражает основную загрузочную запись (MBR) жесткого диска и любые файлы с расширениями .COM, .SCR и .EXE.^[3] Однако он не заразит файлы, в имени которых есть SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV или CHKDSK.^[4]

Он также известен как один из первых вирусов, реализовавших метод «пятнистого заражения», представленный в Бомбардировщик.

OneHalf имеет около 20 различных вариантов, все с функционально похожим поведением.^[5]

Полезная нагрузка

OneHalf известен своей своеобразной полезной нагрузкой: при каждой загрузке он шифрует два незашифрованных цилиндра пользователя. Жесткий диск, но затем временно расшифровывает их при обращении к ним. Это гарантирует, что пользователь не заметит, что его жесткий диск шифруется подобным образом, и позволяет продолжить шифрование. Он также скрывает реальную MBR от программ на компьютере, чтобы затруднить обнаружение. Шифрование выполняется побитовым XORing с помощью случайно сгенерированного ключа, который можно снова расшифровать простым XOR с тем же битовым потоком. После того, как вирус зашифровал половину диска и / или 4, 8, 10, 14, 18, 20, 24, 28 и 30 числа любого месяца и при некоторых других условиях, вирус отобразит сообщение:^[4]

Дис - половина.

Нажмите любую клавишу для продолжения ...^[6]

Удаление

Уникальная полезная нагрузка OneHalf затрудняет удаление: простое удаление вируса и очистка MBR оставят данные зашифрованными, и для их восстановления потребуется резервное копирование. Поэтому перед удалением вируса необходимы специальные инструменты для расшифровки жесткого диска. Один из таких инструментов был разработан для SAC (Словацкий антивирусный центр) для выполнения этой работы.^[2][7]

Рекомендации

внешняя ссылка

• One_Half: лейтенант-командир