OneHalf este un virus polimorf de computer cu pornire de fișiere care rulează în mediul MS-DOS .
Când un computer a fost infectat, virusul s-a instalat în înregistrarea principală de pornire a unității de pornire și a transferat controlul către programul purtător de viruși. A fost instalat în memoria computerului la pornirea sistemului de operare, a interceptat întreruperea INT 21h și de fiecare dată când computerul a pornit, a criptat 2 piste ale hard disk-ului folosind metoda exclusivă OR (XOR) cu o cheie aleatorie. Când modulul rezident al virusului era în memorie, acesta controla toate accesele la sectoarele criptate și le decripta din mers, astfel încât toate programele de calculator să funcționeze normal. Dacă OneHalf a fost eliminat din RAM și din sectorul de boot, atunci a devenit imposibil să citiți corect informațiile din sectoarele criptate ale discului. Virusul nu a infectat fișierele executabile de pe hard diskul computerului, ci a fost adăugat la programele de pe dischete atunci când au fost accesate. De asemenea, nu a infectat sectorul de boot al dischetelor. Când fișierele au fost infectate, decriptorul polimorf a fost introdus aleatoriu în întregul corp al programului sub formă de blocuri separate, urmând tiparul virusului CommanderBomber.
De îndată ce virusul a criptat jumătate din disc, de fiecare dată când computerul a fost repornit și virusul a fost încărcat în memorie, ar afișa următorul mesaj cu o oarecare probabilitate:
Dis este o jumătate. Apăsați orice tastă pentru a continua ...
După aceea, virusul a așteptat să fie apăsată orice tastă și și-a continuat activitatea. În unele versiuni ale virusului, inscripția afișată de acesta ar putea fi ușor diferită de cea de mai sus.
Încercările de a elimina un virus dintr-un sistem au dus adesea la pierderi de date, deoarece sistemul de operare nu a putut folosi părțile criptate ale discului. Criptarea a continuat de la sfârșitul discului până la început, iar dacă virusul a criptat sectorul de boot cu propriul cod, atunci data viitoare când sistemul de operare a fost pornit, acesta nu a mai putut porni și toate informațiile de pe disc au devenit inaccesibile.
Virusul OneHalf a folosit diverse mecanisme pentru a se deghiza. A folosit tehnologii anti-depanare și a făcut ca computerul să înghețe în timpul urmăririi inepte și a fost, de asemenea, un virus ascuns și a folosit algoritmi polimorfi în timpul distribuției. Detectarea și eliminarea virusului OneHalf a fost o provocare. Anterior, nu toate programele antivirus care detectau acest virus l-au putut elimina corect.
La mijlocul anilor 1990. Virusul OneHalf a fost unul dintre primele în prevalență. Acest lucru s-a datorat faptului că multe programe anti-virus populare (cum ar fi Aidstest ) nu au detectat acest virus. Pentru programele antivirus care au găsit și au eliminat OneHalf, operațiunea de decriptare a hard diskului ar putea dura destul de mult, în funcție de câte sectoare de disc a reușit virusul să cripteze.
D. Lozinsky (autorul Aidstest): „OneHalf, desigur, a fost un lucru groaznic, pentru că a fost ratat, nu a fost observat la timp. S-a răspândit foarte larg. Acesta este un exemplu de program scris de o persoană tânără, pricepută, dar proastă. Cu cât mai multă prostie, cu atât mai multă răutate”.
„Nu ar fi exagerat să spunem că reacția destul de promptă a dezvoltatorului programului Dr.Web (la acea vreme pur și simplu Web) Igor Danilov a dus rapid la faptul că focarele de început ale epidemiei s-au dispărut, provocând daune mult din toate cazurile.”
De fapt, promptitudinea reacției DialogScience se explică prin distribuția deja destul de largă a antivirusului de auditare a discurilor AdInf la acea vreme, cu ajutorul căruia OneHalf a fost detectat și trimis spre analiză la DialogScience. Antivirusul Dr.Web a fost primul care a învățat cum să trateze eficient acest virus și să decripteze hard disk-ul criptat de acesta.
Odată cu răspândirea Windows 95 și a sistemelor de operare superioare, în care virusul OneHalf nu s-a putut reproduce, a dispărut.
| Atacurile hack din anii 1990 | |
|---|---|
| hackeri singuratici |
|
| Virușii informatici | |
| anii 1980 • 1990 • 2000 | |