OneHalf

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

OneHalf — полиморфный файлово-загрузочный компьютерный вирус, работающий в среде MS-DOS.

При заражении компьютера вирус устанавливал себя в Master boot record загрузочного диска и передавал управление программе-вирусоносителю. Он устанавливался в память компьютера при загрузке операционной системы, перехватывал прерывание INT 21h и при каждом запуске компьютера шифровал по 2 дорожки жесткого диска методом Исключающего ИЛИ (XOR) с случайным ключом. Когда резидентный модуль вируса находился в памяти, он контролировал все обращения к зашифрованным секторам и расшифровывал их «на лету», так что всё программное обеспечение компьютера работало нормально. Если OneHalf просто удалить из оперативной памяти и загрузочного сектора, то станет невозможно правильно прочитать информацию, записанную в зашифрованных секторах диска. Вирус не заражал исполнимые файлы на жёстком диске компьютера, а добавлялся в программы на дискетах при обращении к ним. Он также не заражал загрузочный сектор дискет. При заражении файлов полиморфный расшифровщик в виде отдельных блоков случайным образом внедрялся по всему телу программы по образцу вируса CommanderBomber.

Как только вирус зашифровывал половину диска, при каждой следующей загрузке компьютера и загрузке вируса в память он с некоторой вероятностью выводил на экран сообщение:

Dis is one half. Press any key to continue …

После этого вирус ожидал, когда пользователь нажмет на какую-либо клавишу и продолжал свою работу. Для некоторых версий вируса отображаемая им надпись может несколько отличаться от приведенной выше.

Попытки удалить вирус из системы зачастую приводили к потере данных, так как операционная система не могла использовать зашифрованные части диска. Шифрование шло от конца диска к началу, и если вирус зашифровывал загрузочный сектор со своим кодом, то при следующем запуске операционная система уже не могла загрузиться, и вся информация на диске становилась недоступной.

Вирус OneHalf использовал различные механизмы для своей маскировки. Он применял антиотладочные технологии и при неумелой трассировке вызывал зависание компьютера, а также являлся стелс-вирусом и использовал при распространении полиморфные алгоритмы. Обнаружение и удаление вируса OneHalf были достаточно сложной задачей. Ранее не все антивирусные программы, которые определяли этот вирус, могли корректно его удалить.

В середине 1990-х гг. вирус OneHalf занимал одно из первых мест по распространенности. Это было связано с тем, что многие популярные антивирусные программы (например, Aidstest) не обнаруживали этот вирус. У антивирусных программ, которые находили и удаляли OneHalf, операция расшифровки жёсткого диска могла занимать довольно значительное время в зависимости от того, насколько много секторов диска вирус успел зашифровать.

Д.Лозинский (автор Aidstest): «OneHalf, конечно, был жуткой вещью, ведь его упустили, не заметили вовремя. Он разошелся очень широко. Это пример программы, написанной молодым, умелым, но глупым человеком. Чем больше глупость, тем больше злобы».

«Не будет преувеличением сказать, что достаточно оперативная реакция разработчика программы Dr. Web (в то время просто Web) Игоря Данилова, довольно быстро привела к тому, что начинавшиеся вспышки эпидемии угасали, нанося ущерб далеко не в каждом случае».

На деле же, оперативность реакции «ДиалогНауки» объясняется уже достаточно широким на тот момент распространением антивируса-ревизора диска AdInf, с помощью которого был обнаружен OneHalf и передан на анализ в «ДиалогНауку». Антивирус Dr.Web первым научился эффективно лечить этот вирус (и расшифровывать зашифрованный им жесткий диск).

С распространением операционных систем Windows 95 и выше, в которых вирус OneHalf не мог размножаться, он практически вымер.

Ссылки[править | править вики-текст]