OneHalf

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

OneHalf — полиморфный файлово-загрузочный компьютерный вирус, работающий в среде MS-DOS.

При заражении компьютера вирус устанавливал себя в главную загрузочную запись загрузочного диска и передавал управление программе-вирусоносителю. Он устанавливался в память компьютера при загрузке операционной системы, перехватывал прерывание INT 21h и при каждом запуске компьютера шифровал по 2 дорожки жесткого диска методом исключающего ИЛИ (XOR) со случайным ключом. Когда резидентный модуль вируса находился в памяти, он контролировал все обращения к зашифрованным секторам и расшифровывал их «на лету», так что всё программное обеспечение компьютера работало нормально. Если OneHalf удаляли из оперативной памяти и загрузочного сектора, то становилось невозможным правильное чтение информации в зашифрованных секторах диска. Вирус не заражал исполняемые файлы на жёстком диске компьютера, а добавлялся в программы на дискетах при обращении к ним. Он также не заражал загрузочный сектор дискет. При заражении файлов полиморфный расшифровщик в виде отдельных блоков случайным образом внедрялся по всему телу программы по образцу вируса CommanderBomber.

Как только вирус зашифровывал половину диска, при каждой следующей загрузке компьютера и загрузке вируса в память он с некоторой вероятностью выводил на экран сообщение:

Dis is one half. Press any key to continue …

После этого вирус ожидал нажатия любой клавиши и продолжал свою работу. В некоторых версиях вируса отображаемая им надпись могла несколько отличаться от приведенной выше.

Попытки удалить вирус из системы зачастую приводили к потере данных, так как операционная система не могла использовать зашифрованные части диска. Шифрование шло от конца диска к началу, и если вирус зашифровывал загрузочный сектор со своим кодом, то при следующем запуске операционная система уже не могла загрузиться, и вся информация на диске становилась недоступной.

Вирус OneHalf использовал различные механизмы для своей маскировки. Он применял антиотладочные технологии и при неумелой трассировке вызывал зависание компьютера, а также являлся стелс-вирусом и использовал при распространении полиморфные алгоритмы. Обнаружение и удаление вируса OneHalf были достаточно сложной задачей. Ранее не все антивирусные программы, которые определяли этот вирус, могли корректно его удалить.

В середине 1990-х гг. вирус OneHalf занимал одно из первых мест по распространенности. Это было связано с тем, что многие популярные антивирусные программы (например, Aidstest) не обнаруживали этот вирус. У антивирусных программ, которые находили и удаляли OneHalf, операция расшифровки жёсткого диска могла занимать довольно значительное время в зависимости от того, сколько секторов диска вирус успел зашифровать.

Д. Лозинский (автор Aidstest): «OneHalf, конечно, был жуткой вещью, ведь его упустили, не заметили вовремя. Он разошелся очень широко. Это пример программы, написанной молодым, умелым, но глупым человеком. Чем больше глупость, тем больше злобы».

«Не будет преувеличением сказать, что достаточно оперативная реакция разработчика программы Dr.Web (в то время просто Web) Игоря Данилова, довольно быстро привела к тому, что начинавшиеся вспышки эпидемии угасали, нанося ущерб далеко не в каждом случае».

Одним из первых антивирусов против OneHalf был написан Валерием Афанасьевым (vgasoft .com) на языке Ассемблер.

На деле же оперативность реакции «ДиалогНауки» объясняется уже достаточно широким на тот момент распространением антивируса-ревизора диска AdInf, с помощью которого OneHalf был обнаружен и передан на анализ в «ДиалогНауку». Антивирус Dr.Web первым научился эффективно лечить этот вирус и расшифровывать зашифрованный им жесткий диск.

С распространением операционных систем Windows 95 и выше, в которых вирус OneHalf не мог размножаться, он вымер.