OneHalf je polymorfní počítačový virus pro spouštění souborů , který běží v prostředí MS-DOS .
Když byl počítač infikován, virus se sám nainstaloval do hlavního spouštěcího záznamu spouštěcí jednotky a přenesl kontrolu na program přenašeče virů. Byl nainstalován do paměti počítače při startu operačního systému, zachytil přerušení INT 21h a při každém spuštění počítače zašifroval 2 stopy pevného disku pomocí exkluzivní metody OR (XOR) náhodným klíčem. Když byl rezidentní modul viru v paměti, řídil všechny přístupy k zašifrovaným sektorům a za běhu je dešifroval, takže veškerý počítačový software fungoval normálně. Pokud byl OneHalf odstraněn z paměti RAM a spouštěcího sektoru, bylo nemožné správně číst informace v zašifrovaných sektorech disku. Virus neinfikoval spustitelné soubory na pevném disku počítače, ale byl přidán do programů na disketách, když byly zpřístupněny. Také neinfikoval boot sektor disket. Když byly soubory infikovány, polymorfní decryptor byl náhodně zaveden do celého těla programu ve formě samostatných bloků po vzoru viru CommanderBomber.
Jakmile virus zašifruje polovinu disku, při každém restartu počítače a načtení viru do paměti zobrazí s určitou pravděpodobností následující zprávu:
Dis je jedna polovina. Pokračujte stiskem libovolné klávesy ...
Poté virus čekal na stisknutí libovolné klávesy a pokračoval ve své práci. V některých verzích viru se může zobrazený nápis mírně lišit od výše uvedeného.
Pokusy o odstranění viru ze systému často vedly ke ztrátě dat, protože operační systém nemohl používat zašifrované části disku. Šifrování probíhalo od konce disku na začátek a pokud virus zašifroval boot sektor vlastním kódem, tak při příštím spuštění operačního systému již nemohl nabootovat a veškeré informace na disku se staly nedostupnými.
Virus OneHalf používal různé mechanismy k maskování. Používal technologie proti ladění a způsobil zamrznutí počítače během nešikovného sledování a byl také virem stealth a během distribuce používal polymorfní algoritmy. Detekce a odstranění viru OneHalf byla docela výzva. Dříve ne všechny antivirové programy, které detekovaly tento virus, jej dokázaly správně odstranit.
V polovině 90. let. OneHalf virus byl jedním z prvních v prevalenci. To bylo způsobeno tím, že mnoho populárních antivirových programů (např. Aidstest ) tento virus nezjistilo. U antivirových programů, které našly a odstranily OneHalf, může operace dešifrování pevného disku trvat poměrně dlouho v závislosti na tom, kolik sektorů disku se viru podařilo zašifrovat.
D. Lozinsky (autor Aidstestu): „OneHalf byla samozřejmě strašná věc, protože se minula, nebyla včas zaznamenána. Rozšířilo se to velmi široce. Toto je příklad programu, který napsal mladý, zručný, ale hloupý člověk. Čím více hlouposti, tím více zloby."
„Nebylo by přehnané říci, že poměrně pohotová reakce vývojáře programu Dr.Web (v té době prostě Web) Igora Danilova rychle vedla k tomu, že počínající ohniska epidemie odezněla a způsobila značné škody. v každém případě."
Rychlost reakce DialogScience je ve skutečnosti vysvětlována již v té době poměrně širokou distribucí antivirového diskového auditu AdInf, s jehož pomocí byl OneHalf detekován a předložen k analýze DialogScience. Anti-virus Dr.Web byl první, kdo se naučil efektivně léčit tento virus a dešifrovat jím zašifrovaný pevný disk.
S rozšířením operačních systémů Windows 95 a vyšších, ve kterých se virus OneHalf nemohl množit, vyhynul.
| Hackerské útoky z 90. let | |
|---|---|
| osamělí hackeři |
|
| Počítačové viry | |
| 80. léta • 90. léta • 20. století | |