Virus.DOS.OneHalf

Technical Details

Очень опасные резидентные файлово-загрузочные полиморфик-вирусы. При
запуске заражают MBR винчестера, при загрузке с пораженного диска
перехватывают INT 13h, 1Ch, 21h и записываются в COM- и EXE-файлы при
обращении к ним. Не заражают файлы: SCAN, CLEAN, FINDVIRU, GUARD, NOD,
VSAFE, MSAV, CHKDSK.
Код расшифровщика этих вирусов разбросан по всему файлу со случайными
смещениями (см. «Bomber»).
При заражении винчестера вирус считывает его MBR и сканирует таблицу
разбиения диска (Disk Partition Table). В ней он ищет последний DOS’овский
диск — логический диск (FAT-12/FAT-16/BIGDOS) или Extended partition, и
когда находит, подсчитывает номер первого и последнего цилиндра найденного
диска (или Extended partition). При этом вирус довольно грамотно
обрабатывает диски, имеющие более 1024 цилиндров и не вписываются в
стандарты INT 13h. Вирус запоминает адреса этих цилиндров и заражает
винчестер.
Затем при загрузке с зараженного винчестера вирус шифрует два последних
цилиндра диска, при следующей загрузке — еще два и т.д., пока не дойдет до
первого цилиндра. При этом вирус использут адреса первого и последнего
цилиндров диска, которые запомнил при заражении винчестера. Когда
количество зашифрованных цилиндров перевалит за половину диска, вирус
сообщает (в зависимости от текущей даты и своего «поколения»):

Dis is one half.
Press any key to continue...

Таким образом, чем чаще перезагружается зараженный компьютер, тем больше
данных оказываются зашифрованными.
После загрузки в память вирус расшифровывает/зашифровывает эти сектора «на
лету», поэтому пользователь не замечает того, что его данные испорчены.
Однако если вылечить MBR, то все данные оказываются потерянными.
«OneHalf.3518» не шифрует себя в файлах. Выводит текст:

A20 Error !!!
Press any key to continue ...

«OneHalf.3544.b» не заражает файлы: AIDS*.*, ADINF*.*, DRWEB*.*, ASD*.*,
MSAV*.*. Выводит сообщение:

Dis is TWO HALF.
Fucks any key to Goping...

«OneHalf.3544.c» не шифрует секторов, выводит текст:

Disk is Tpu half.
(Bepx, Hu3 u Pe6po)

Вирусы также содержат строки:

"OneHalf.3544.a": Did you leave the room ?
"OneHalf.3544.b": User is loh !
"OneHalf.3577":   DidYouLeaveTheRoom?

OneHalf.Madjid

Не шифрует свой код, однако шифрует сектора винчестера так же, как и
«настоящий» OneHalf. Выводит текст:

OHHHHH...  MADJID
Here is very dark.
HELP ME... HELP ME... HELP...
I am here .They kill the love .I am solitary .
Press RETURN for continue