|
        
|
One_Half.3544
Tento virus je paměťově rezidentní, multipartitní, tunelující, stealth a polymorfní. Virus po své aktivaci nejprve krokuje přerušení 13h až do segmentu MS-DOSu. Pak se pokusí infikovat tabulku rozdělení pevného disku (DPT). Pokud se mu to povede, uloží své tělo do posledních 7 sektorů nulté stopy, původní DPT do osmého sektoru od konce stopy a ukončí svou činnost. V případě, že se mu infekce pevného disku nezdaří, stane se okamžitě rezidentním a napadá soubory typu COM i EXE delší než 1000 bytů. Soubory napadá při jejich spuštění, otevření či přejmenování, a to jak na pevném disku tak i na disketách nebo síťových discích. Virus testuje jména souborů a nenapadá soubory SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV a CHKDSK. Po zavedení systému z napadeného pevného disku si virus vyhradí poslední 4 KB paměti RAM, instaluje se do vyhrazené paměti a stane se rezidentním. Nyní napadá soubory pouze na disketách či na síťových discích. Napadené soubory prodlužuje o 3544 nebo 3577 bytů. Příznakem napadení souboru je určitá závislost mezi datem a časem vzniku souboru. Autor viru One Half se nejspíše nechal inspirovat bulharským virem Commander Bomber. Podobně jako v tomto viru, i zde je dekódovací smyčka rozprostřena v deseti úsecích náhodně rozmístěných po původním souboru. Jednotlivé úseky jsou navzájem provázány dvěma typy skoků a jsou doplněny náhodnými jednobytovými instrukcemi. Celá tato konstrukce dekódovací smyčky má dvojí účel. Jednak jsou napadené soubory bez dekódovaní virem v paměti nefunkční a běžnými metodami z nich nelze virus odstranit, jednak nelze tento virus vyhledávat pomocí textového řetězce. Škody, které může tento virus napáchat, mohou být značné. Po každém zavedení systému virus zaxoruje poslední dvě stopy každého povrchu pevného disku s náhodným číslem, které si vygeneruje při instalaci do DPT. Číslo poslední kódované stopy si uchovává ve svém zavaděči v DPT. Po zakódování poloviny disku se v závislosti na datu může zobrazit hlášení: „DIS IS ONE HALF ... PRESS ANY KEY TO CONTINUE". Virus pak pokračuje v kódování. První třetinu disku virus ponechá nezakódovanou. One Half používá techniky stealth. Pokud je virus v paměti aktivní, není xorování disku ani prodloužení napadených souboru patrné.Zdroj: Alwil software - výrobce antiviru AVAST
