|
One_Half.3544Tento virus je pam∞¥ov∞ rezidentnφ, multipartitnφ, tunelujφcφ, stealth a
polymorfnφ. Virus po svΘ aktivaci nejprve krokuje p°eruÜenφ 13h a₧ do
segmentu MS-DOSu. Pak se pokusφ infikovat tabulku rozd∞lenφ pevnΘho disku
(DPT). Pokud se mu to povede, ulo₧φ svΘ t∞lo do poslednφch 7 sektor∙ nultΘ
stopy, p∙vodnφ DPT do osmΘho sektoru od konce stopy a ukonΦφ svou Φinnost.
V p°φpad∞, ₧e se mu infekce pevnΘho disku nezda°φ, stane se okam₧it∞
rezidentnφm a napadß soubory typu COM i EXE delÜφ ne₧ 1000 byt∙. Soubory
napadß p°i jejich spuÜt∞nφ, otev°enφ Φi p°ejmenovßnφ, a to jak na pevnΘm
disku tak i na disketßch nebo sφ¥ov²ch discφch. Virus testuje jmΘna soubor∙
a nenapadß soubory SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV a CHKDSK.
Po zavedenφ systΘmu z napadenΘho pevnΘho disku si virus vyhradφ poslednφ 4 KB
pam∞ti RAM, instaluje se do vyhrazenΘ pam∞ti a stane se rezidentnφm. Nynφ
napadß soubory pouze na disketßch Φi na sφ¥ov²ch discφch. NapadenΘ soubory
prodlu₧uje o 3544 nebo 3577 byt∙. P°φznakem napadenφ souboru je urΦitß zßvislost
mezi datem a Φasem vzniku souboru. Autor viru One Half se nejspφÜe nechal
inspirovat bulharsk²m virem Commander Bomber. Podobn∞ jako v tomto viru,
i zde je dek≤dovacφ smyΦka rozprost°ena v deseti ·secφch nßhodn∞ rozmφst∞n²ch
po p∙vodnφm souboru. JednotlivΘ ·seky jsou navzßjem provßzßny dv∞ma typy
skok∙ a jsou dopln∞ny nßhodn²mi jednobytov²mi instrukcemi. Celß tato
konstrukce dek≤dovacφ smyΦky mß dvojφ ·Φel. Jednak jsou napadenΘ soubory bez
dek≤dovanφ virem v pam∞ti nefunkΦnφ a b∞₧n²mi metodami z nich nelze virus odstranit,
jednak nelze tento virus vyhledßvat pomocφ textovΘho °et∞zce.
èkody, kterΘ m∙₧e tento virus napßchat, mohou b²t znaΦnΘ. Po ka₧dΘm zavedenφ systΘmu
virus zaxoruje poslednφ dv∞ stopy ka₧dΘho povrchu pevnΘho disku s nßhodn²m Φφslem,
kterΘ si vygeneruje p°i instalaci do DPT. ╚φslo poslednφ k≤dovanΘ stopy si
uchovßvß ve svΘm zavad∞Φi v DPT. Po zak≤dovßnφ poloviny disku se v zßvislosti na datu
m∙₧e zobrazit hlßÜenφ: äDIS IS ONE HALF ... PRESS ANY KEY TO CONTINUE".
Virus pak pokraΦuje v k≤dovßnφ. Prvnφ t°etinu disku virus ponechß
nezak≤dovanou. One Half pou₧φvß techniky stealth. Pokud je virus v pam∞ti
aktivnφ, nenφ xorovßnφ disku ani prodlou₧enφ napaden²ch souboru patrnΘ.
Zdroj: Alwil software - v²robce antiviru AVAST
|
|
