Энциклопедия компьютерных вирусов
         

OneHalf, семейство


Очень опасные резидентные файлово-загрузочные полиморфик

-вирусы. При запуске заражают MBR винчестера, при загрузке с пораженного диска перехватывают INT 13h, 1Ch, 21h и записываются в COM- и EXE-файлы при обращении к ним. Не заражают файлы: SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV, CHKDSK. Код расшифровщика этих вирусов разбросан по всему файлу со случайными смещениями (см. "Bomber"

). При заражении винчестера вирус считывает его MBR и сканирует таблицу разбиения диска (Disk Partition Table). В ней он ищет последний DOS'овский диск - логический диск (FAT-12/FAT-16/BIGDOS) или Extended partition, и когда находит, подсчитывает номер первого и последнего цилиндра найденного диска (или Extended partition). При этом вирус довольно грамотно обрабатывает диски, имеющие более 1024 цилиндров и не вписываются в стандарты INT 13h. Вирус запоминает адреса этих цилиндров и заражает винчестер. Затем при загрузке с зараженного винчестера вирус шифрует два последних цилиндра диска, при следующей загрузке - еще два и т.д., пока не дойдет до первого цилиндра. При этом вирус использут адреса первого и последнего цилиндров диска, которые запомнил при заражении винчестера. Когда количество зашифрованных цилиндров перевалит за половину диска, вирус сообщает (в зависимости от текущей даты и своего "поколения"):

Dis is one half. Press any key to continue...

Таким образом, чем чаще перезагружается зараженный компьютер, тем больше данных оказываются зашифрованными. После загрузки в память вирус расшифровывает/зашифровывает эти сектора "на лету", поэтому пользователь не замечает того, что его данные испорчены. Однако если вылечить MBR, то все данные оказываются потерянными. "OneHalf.3518" не шифрует себя в файлах. Выводит текст:

A20 Error !!! Press any key to continue ...

"OneHalf.3544.b" не заражает файлы: AIDS*.*, ADINF*.*, DRWEB*.*, ASD*.*, MSAV*.*. Выводит сообщение:

Dis is TWO HALF. Fucks any key to Goping...

"OneHalf.3544.c" не шифрует секторов, выводит текст:

Disk is Tpu half. (Bepx, Hu3 u Pe6po)

Вирусы также содержат строки:

"OneHalf.3544.a": Did you leave the room ? "OneHalf.3544.b": User is loh ! "OneHalf.3577": DidYouLeaveTheRoom?



Содержание раздела