OneHalf es un virus informático polimórfico de arranque de archivos que se ejecuta en el entorno MS-DOS .
Cuando se infectaba una computadora, el virus se instalaba en el registro de arranque maestro de la unidad de arranque y transfería el control al programa portador del virus. Se instalaba en la memoria de la computadora cuando se arrancaba el sistema operativo, interceptaba la interrupción INT 21h y cada vez que la computadora arrancaba cifraba 2 pistas del disco duro usando el método OR exclusivo (XOR) con clave aleatoria. Cuando el módulo residente del virus estaba en la memoria, controlaba todos los accesos a los sectores cifrados y los descifraba sobre la marcha, para que todo el software informático funcionara con normalidad. Si OneHalf se eliminó de la RAM y el sector de arranque, se volvió imposible leer correctamente la información en los sectores cifrados del disco. El virus no infectaba los archivos ejecutables en el disco duro de la computadora, pero se agregaba a los programas en los disquetes cuando se accedía a ellos. Tampoco infectaba el sector de arranque de los disquetes. Cuando los archivos se infectaban, el descifrador polimórfico se introducía aleatoriamente en todo el cuerpo del programa en forma de bloques separados, siguiendo el patrón del virus CommanderBomber.
Tan pronto como el virus cifrara la mitad del disco, cada vez que se reiniciara la computadora y se cargara el virus en la memoria, mostraría el siguiente mensaje con cierta probabilidad:
Dis es la mitad. Pulse cualquier tecla para continuar ...
Después de eso, el virus esperó a que se presionara cualquier tecla y continuó su trabajo. En algunas versiones del virus, la inscripción que muestra podría ser ligeramente diferente a la anterior.
Los intentos de eliminar un virus de un sistema a menudo provocaban la pérdida de datos porque el sistema operativo no podía utilizar las partes cifradas del disco. El cifrado procedió desde el final del disco hasta el principio, y si el virus cifraba el sector de arranque con su propio código, la próxima vez que se iniciara el sistema operativo, ya no podría arrancar y toda la información del disco se volvería inaccesible.
El virus OneHalf utilizó varios mecanismos para disfrazarse. Usó tecnologías anti-depuración y provocó que la computadora se congelara durante un rastreo inepto, y también era un virus sigiloso y usaba algoritmos polimórficos durante la distribución. Detectar y eliminar el virus OneHalf fue todo un desafío. Anteriormente, no todos los programas antivirus que detectaban este virus podían eliminarlo correctamente.
A mediados de la década de 1990. El virus OneHalf fue uno de los primeros en prevalencia. Esto se debió al hecho de que muchos programas antivirus populares (como Aidstest ) no detectaron este virus. Para los programas antivirus que encontraron y eliminaron OneHalf, la operación de descifrado del disco duro podría llevar bastante tiempo, dependiendo de cuántos sectores del disco lograra cifrar el virus.
D. Lozinsky (autor de Aidstest): “OneHalf, por supuesto, fue algo terrible, porque se perdió, no se notó a tiempo. Se extendió muy ampliamente. Este es un ejemplo de un programa escrito por una persona joven, hábil pero estúpida. Cuanta más estupidez, más malicia".
“No sería una exageración decir que la reacción bastante rápida del desarrollador del programa Dr.Web (en ese momento simplemente Web) Igor Danilov condujo rápidamente al hecho de que los brotes iniciales de la epidemia se desvanecieron, causando daños lejanos. de en todos los casos.”
De hecho, la prontitud de la reacción de DialogScience se explica por la ya bastante amplia distribución del antivirus de auditoría de disco AdInf en ese momento, con la ayuda de la cual OneHalf fue detectado y enviado para su análisis a DialogScience. El antivirus Dr.Web fue el primero en aprender cómo tratar eficazmente este virus y descifrar el disco duro encriptado por él.
Con la difusión de Windows 95 y sistemas operativos superiores, en los que el virus OneHalf no podía reproducirse, se extinguió.
| Ataques de pirateo de la década de 1990 | |
|---|---|
| piratas informáticos solitarios |
|
| Virus informáticos | |
| Década de 1980 • Década de 1990 • Década de 2000 | |