OneHalf (original) (raw)
OneHalf is a DOS-based polymorphic computer virus (hybrid boot and file infector) discovered in October 1994. It is also known as Slovak Bomber, Freelove or Explosion-II. It infects the master boot record (MBR) of the hard disk, and any files with extensions .COM, .SCR and .EXE. However, it will not infect files that have SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV or CHKDSK in the name. It is also known as one of the first viruses to implement a technique of "patchy infection", introduced in Bomber. OneHalf has about 20 different variants, all with functionally similar behaviour.
| Property | Value |
|---|---|
| dbo:abstract | OneHalf, zvaný také jako Košický mor, je počítačový virus ze Slovenska z roku 1994. Jednalo se o úspěšně se šířící virus, který byl polymorfní (každý jeho „potomek“ se odlišoval od svého „rodiče“), hybridní (napadal boot sektory i spustitelné soubory COM a EXE) a který používal tzv. techniky stealth (maskování se před antivirovými programy). Při každé své aktivaci virus zašifroval část pevného disku, šifrovaný obsah se však po dobu, kdy byl virus aktivní, jevil být normálně přístupný. Pokud však byl virus neaktivní (např. odstraněn antivirovým programem), potom byla zašifrovaná data nečitelná a obvykle ztracena. V okamžiku, kdy virus zašifroval polovinu dat, zobrazil následující hlášku a ukončil se (tím obvykle došlo ke ztrátě dat). Dis is one half.Press any key to continue ... Virus používal symetrické šifrování a klíč ukládal v partition tabulce, takže teoreticky bylo možné zašifrovaná data dodatečně rozšifrovat, dokonce existoval i program, který to dokázal. Dalším možným způsobem, jak zachránit data, bylo ponechat virus aktivní v paměti, šifrovaná data přečíst (virus v rámci svého maskování zobrazoval dešifrovaný tvar dat) a uložit je na jiné médium. V době největšího rozmachu viru se však virus šířil úspěšněji než informace o jeho chování a tak hodně uživatelů o nějaká data přišlo. Dodnes (2007) v internetových diskuzích někteří lidé na tento virus vzpomínají a kolují nepotvrzené úvahy, že virus pochází odněkud z Košické univerzity. (cs) OneHalf is a DOS-based polymorphic computer virus (hybrid boot and file infector) discovered in October 1994. It is also known as Slovak Bomber, Freelove or Explosion-II. It infects the master boot record (MBR) of the hard disk, and any files with extensions .COM, .SCR and .EXE. However, it will not infect files that have SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV or CHKDSK in the name. It is also known as one of the first viruses to implement a technique of "patchy infection", introduced in Bomber. OneHalf has about 20 different variants, all with functionally similar behaviour. (en) OneHalf — полиморфный файлово-загрузочный компьютерный вирус, работающий в среде MS-DOS. При заражении компьютера вирус устанавливал себя в главную загрузочную запись загрузочного диска и передавал управление программе-вирусоносителю. Он устанавливался в память компьютера при загрузке операционной системы, перехватывал прерывание INT 21h и при каждом запуске компьютера шифровал по 2 дорожки жесткого диска методом исключающего ИЛИ (XOR) со случайным ключом. Когда резидентный модуль вируса находился в памяти, он контролировал все обращения к зашифрованным секторам и расшифровывал их «на лету», так что всё программное обеспечение компьютера работало нормально. Если OneHalf удаляли из оперативной памяти и загрузочного сектора, то становилось невозможным правильное чтение информации в зашифрованных секторах диска. Вирус не заражал исполняемые файлы на жёстком диске компьютера, а добавлялся в программы на дискетах при обращении к ним. Он также не заражал загрузочный сектор дискет. При заражении файлов полиморфный расшифровщик в виде отдельных блоков случайным образом внедрялся по всему телу программы по образцу вируса CommanderBomber. Как только вирус зашифровывал половину диска, при каждой следующей загрузке компьютера и загрузке вируса в память он с некоторой вероятностью выводил на экран сообщение: Dis is one half.Press any key to continue … После этого вирус ожидал нажатия любой клавиши и продолжал свою работу. В некоторых версиях вируса отображаемая им надпись могла несколько отличаться от приведенной выше. Попытки удалить вирус из системы зачастую приводили к потере данных, так как операционная система не могла использовать зашифрованные части диска. Шифрование шло от конца диска к началу, и если вирус зашифровывал загрузочный сектор со своим кодом, то при следующем запуске операционная система уже не могла загрузиться, и вся информация на диске становилась недоступной. Вирус OneHalf использовал различные механизмы для своей маскировки. Он применял антиотладочные технологии и при неумелой трассировке вызывал зависание компьютера, а также являлся стелс-вирусом и использовал при распространении полиморфные алгоритмы. Обнаружение и удаление вируса OneHalf были достаточно сложной задачей. Ранее не все антивирусные программы, которые определяли этот вирус, могли корректно его удалить. В середине 1990-х гг. вирус OneHalf занимал одно из первых мест по распространенности. Это было связано с тем, что многие популярные антивирусные программы (например, Aidstest) не обнаруживали этот вирус. У антивирусных программ, которые находили и удаляли OneHalf, операция расшифровки жёсткого диска могла занимать довольно значительное время в зависимости от того, сколько секторов диска вирус успел зашифровать. Д. Лозинский (автор Aidstest): «OneHalf, конечно, был жуткой вещью, ведь его упустили, не заметили вовремя. Он разошелся очень широко. Это пример программы, написанной молодым, умелым, но глупым человеком. Чем больше глупость, тем больше злобы». «Не будет преувеличением сказать, что достаточно оперативная реакция разработчика программы Dr.Web (в то время просто Web) Игоря Данилова, довольно быстро привела к тому, что начинавшиеся вспышки эпидемии угасали, нанося ущерб далеко не в каждом случае». На деле же оперативность реакции «ДиалогНауки» объясняется уже достаточно широким на тот момент распространением антивируса-ревизора диска AdInf, с помощью которого OneHalf был обнаружен и передан на анализ в «ДиалогНауку». Антивирус Dr.Web первым научился эффективно лечить этот вирус и расшифровывать зашифрованный им жесткий диск. С распространением операционных систем Windows 95 и выше, в которых вирус OneHalf не мог размножаться, он вымер. (ru) |
| dbo:wikiPageExternalLink | http://www.csie.ntu.edu.tw/~wcchen/asm98/asm/proj/b85506050/ORIGIN/ONEHAL~1.HTM |
| dbo:wikiPageID | 3760296 (xsd:integer) |
| dbo:wikiPageLength | 4027 (xsd:nonNegativeInteger) |
| dbo:wikiPageRevisionID | 1118939170 (xsd:integer) |
| dbo:wikiPageWikiLink | dbr:Bitwise_XOR dbc:DOS_file_viruses dbc:Hacking_in_the_1990s dbr:Computer_Virus dbr:Slovakia dbr:Computer_virus dbr:DOS dbc:Boot_viruses dbr:Bomber_(computer_virus) dbr:Polymorphic_code dbr:Hard_disk |
| dbp:aliases | Slovak Bomber (en) |
| dbp:classification | dbr:Computer_Virus |
| dbp:commonName | OneHalf (en) |
| dbp:family | OneHalf (en) |
| dbp:fullname | OneHalf (en) |
| dbp:isolation | Unknown (en) |
| dbp:isolationdate | 1994 (xsd:integer) |
| dbp:origin | dbr:Slovakia |
| dbp:subtype | file and boot infector (en) |
| dbp:technicalName | OneHalf (en) |
| dbp:type | dbr:DOS |
| dbp:wikiPageUsesTemplate | dbt:For dbt:Infobox_computer_virus dbt:Reflist dbt:Short_description |
| dcterms:subject | dbc:DOS_file_viruses dbc:Hacking_in_the_1990s dbc:Boot_viruses |
| gold:hypernym | dbr:Virus |
| rdf:type | dbo:Species yago:Abstraction100002137 yago:Code106355894 yago:CodingSystem106353757 yago:Communication100033020 yago:MalevolentProgram106573020 yago:Program106568978 yago:Writing106359877 yago:WrittenCommunication106349220 yago:Software106566077 yago:Virus106585816 |
| rdfs:comment | OneHalf is a DOS-based polymorphic computer virus (hybrid boot and file infector) discovered in October 1994. It is also known as Slovak Bomber, Freelove or Explosion-II. It infects the master boot record (MBR) of the hard disk, and any files with extensions .COM, .SCR and .EXE. However, it will not infect files that have SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV or CHKDSK in the name. It is also known as one of the first viruses to implement a technique of "patchy infection", introduced in Bomber. OneHalf has about 20 different variants, all with functionally similar behaviour. (en) OneHalf, zvaný také jako Košický mor, je počítačový virus ze Slovenska z roku 1994. Jednalo se o úspěšně se šířící virus, který byl polymorfní (každý jeho „potomek“ se odlišoval od svého „rodiče“), hybridní (napadal boot sektory i spustitelné soubory COM a EXE) a který používal tzv. techniky stealth (maskování se před antivirovými programy). Dis is one half.Press any key to continue ... Dodnes (2007) v internetových diskuzích někteří lidé na tento virus vzpomínají a kolují nepotvrzené úvahy, že virus pochází odněkud z Košické univerzity. (cs) OneHalf — полиморфный файлово-загрузочный компьютерный вирус, работающий в среде MS-DOS. При заражении компьютера вирус устанавливал себя в главную загрузочную запись загрузочного диска и передавал управление программе-вирусоносителю. Он устанавливался в память компьютера при загрузке операционной системы, перехватывал прерывание INT 21h и при каждом запуске компьютера шифровал по 2 дорожки жесткого диска методом исключающего ИЛИ (XOR) со случайным ключом. Когда резидентный модуль вируса находился в памяти, он контролировал все обращения к зашифрованным секторам и расшифровывал их «на лету», так что всё программное обеспечение компьютера работало нормально. Если OneHalf удаляли из оперативной памяти и загрузочного сектора, то становилось невозможным правильное чтение информации в зашифрова (ru) |
| rdfs:label | OneHalf (cs) OneHalf (en) OneHalf (ru) |
| owl:sameAs | freebase:OneHalf wikidata:OneHalf dbpedia-az:OneHalf dbpedia-cs:OneHalf http://my.dbpedia.org/resource/OneHalf_(ကွန်ပျူတာ_ဗိုင်းရပ်စ်) dbpedia-ru:OneHalf dbpedia-sk:OneHalf https://global.dbpedia.org/id/vvXY |
| prov:wasDerivedFrom | wikipedia-en:OneHalf?oldid=1118939170&ns=0 |
| foaf:isPrimaryTopicOf | wikipedia-en:OneHalf |
| is dbo:wikiPageRedirects of | dbr:OneHalf_(computer_virus) |
| is dbo:wikiPageWikiLink of | dbr:Bomber_(computer_virus) dbr:OneHalf_(computer_virus) |
| is foaf:primaryTopic of | wikipedia-en:OneHalf |