Jedna polovina - OneHalf
Běžné jméno | Jedna polovina |
---|---|
Technický název | Jedna polovina |
Aliasy | Slovenský bombardér |
Rodina | Jedna polovina |
Klasifikace | Virus |
Typ | DOS |
Podtyp | souborový a bootovací infektor |
Izolace | 1994 |
Bod izolace | Neznámý |
Místo původu | Slovensko |
Jedna polovina je založen na systému DOS polymorfní počítačový virus (hybridní boot a souborový infektor) objevený v říjnu 1994.[1] Je také známý jako Slovak Bomber, Freelove nebo Explosion-II.[2] Infikuje hlavní spouštěcí záznam (MBR) pevného disku a všechny soubory s příponami .COM, .SCR a .EXE.[3] Neinfikuje však soubory, které mají v názvu SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV nebo CHKDSK.[4]
Je také známý jako jeden z prvních virů, který zavedl techniku „nepravidelné infekce“ zavedenou v roce 2006 Bombardér.
OneHalf má asi 20 různých variant, všechny s funkčně podobným chováním.[5]
Užitečné zatížení
OneHalf je známý svým zvláštním užitečným zatížením: při každém spuštění šifruje dva nešifrované válce uživatelského Pevný disk, ale poté je při přístupu dočasně dešifruje. Tím se zajistí, že si uživatel nevšimne, že je jeho pevný disk takto šifrován, a umožní šifrování pokračovat dále. Skryje také skutečný MBR z programů v počítači, čímž ztěžuje detekci. Šifrování se provádí po bitech XORing náhodně generovaným klíčem, který lze jednoduše dešifrovat XORingem se stejným bitovým proudem. Jakmile virus zašifruje polovinu disku nebo 4., 8., 10., 14., 18., 20., 24., 28. a 30. měsíce a za určitých dalších podmínek, virus zobrazí zprávu:[4]
Dis je jedna polovina.
Pokračujte stiskem libovolné klávesy ...[6]
Odstranění
Jedinečná užitečná zátěž OneHalf ztěžuje odstranění: pouhé odstranění viru a vyčištění MBR ponechá data zašifrovaná a pro jejich obnovení budete potřebovat zálohy. Proto jsou k dešifrování pevného disku před odstraněním viru zapotřebí speciální nástroje. Jeden takový nástroj byl vyvinut pro SAC (Slovenské antivirové centrum), aby vykonával tuto práci.[2][7]
Reference
- ^ „One Half Virus“. VSUM. Citováno 13. února 2013.
- ^ A b „One_Half Description - F-Secure Labs“. www.f-secure.com.
- ^ „Poloviční virus“. Software Proland. Citováno 13. února 2013.
- ^ A b „Onehalf - Virová encyklopedie“. virus.wikidot.com.
- ^ "Jedna polovina". ESET. Citováno 13. února 2013.
- ^ "Jedna polovina". Symantec. Archivovány od originál dne 30. října 2015. Citováno 13. února 2013.
- ^ „YouTube: danooct1: Virus.DOS.Onehalf Sledování / pokus o odstranění“. danooct1. 25. září 2013. Citováno 14. prosince 2014.