Вирус onehalf получил свое название от поведения

Ответы на экзаменационные вопросы интернет-курсов ИНТУИТ (INTUIT): 206. Визуальное моделирование: теория и практика

1. 
   API для интеграции средств антивирусной защиты был впервые добавлен в Microsoft Exchange Server версии
   
2. 
   Bizex является первым зарегистрированным червем, распространяющемся через:
   
3. 
   DDoS атака это
   
4. 
   EICAR это:
   
5. 
   VSAPI 2.0 обладал следующими недостатками:
   
6. 
   Анализ контрольных сумм может быть применен при
   
7. 
   Антивирус Касперского для CheckPoint Firewall позволяет проверять потоки следующих протоколов:
   
8. 
   Антивирус Касперского для Microsoft ISA Server 2000 позволяет проверять потоки следующих протоколов:
   
9. 
   Антивирусная база это:
   
10. 
    Антивирусные средства могут использовать VSAPI 2.5 в следующих версиях Microsoft Exchange Server:
    
11. 
    Антивирусный комплекс для CheckPoint Firewall:
    
12. 
    Антивирусный комплекс для защиты шлюзов, как правило, включает в себя:
    
13. 
    Бестелесный червь Slammer (январь 2003 года) поражал компьютеры с установленным:
    
14. 
    В вирусной войне 2004 года принимали участие:
    
15. 
    В зависимости от среды, в которой выполняется вредоносный код файлового вируса, выделяются:
    
16. 
    В каких случаях необходимо создание иерархии серверов управления?
    
17. 
    В организации в качестве шлюза используется CheckPoint Firewall. Возможна ли организация проверки HTTP и FTP-потоков без непосредственной интеграции со шлюзом?
    
18. 
    В организации в качестве шлюза используется Microsoft ISA Server 2004. Возможна ли организация проверки HTTP и FTP-потоков без непосредственной интеграции со шлюзом?
    
19. 
    В организации используются релейный и внутренний почтовые сервера. Куда лучше установить антивирусный комплекс для проверки почтового потока?
    
20. 
    В отличие от VSAPI 2.0, VSAPI 2.5 позволяет:
    
21. 
    В процессе выполнения заложенных действий клавиатурный шпион:
    
22. 
    В сравнении с AVAPI 1.0 в VSAPI 2.0 были сделаны следующие изменения
    
23. 
    Вирус OneHalf получил свое название от следующей черты поведения:
    
24. 
    Вирус Win95.CIH получил второе имя Чернобыль потому, что:
    
25. 
    Внедрение комплексной системы антивирусной защиты (КСАЗ) начинается с этапа:
    
26. 
    Возможна ли одновременная работы двух антивирусных комплексов различных производителей на одном узле?
    
27. 
    Возможна ли одновременное наличие на компьютере двух антивирусных комплексов для защиты рабочей станции?
    
28. 
    Возможно ли использование цепочки из нескольких антивирусных комплексов при интеграции с Sendmail через Milter API
    
29. 
    Для маскировки, вирусы применяют:
    
30. 
    Для проникновения на компьютер, Sasser использовал брешь в одной из служб Windows. В какой именно?
    
31. 
    Для проникновения на компьютеры трояны используют следующие способы
    
32. 
    Жизненный цикл трояна состоит из таких стадий
    
33. 
    Жизненный цикл червя состоит из следующих стадий:
    
34. 
    Загрузочные вирусы заражают:
    
35. 
    Информация сохраняет безопасность при сохранении
    
36. 
    Использование иерархии серверов управления позволяет:
    
37. 
    Используя уязвимость в службе DCOM RPC, сетевой червь может поразить машины под управлением следующих операционных систем
    
38. 
    К бестелесным (не использующим для распространения файла и не сохраняющим копии на жестком диске) червям относятся:
    
39. 
    К средствам групповой работы (groupware) относятся:
    
40. 
    Как правило, в подсистеме диагностики антивирусного комплекса для проверки почтового потока имеются возможности по уведомлению администратора, отправителя и получателя инфицированного письма, а также занесение информации об инцидентах в журнал работы. На практике уведомление одного из типов обычно выключено и его включение настоятельно не рекомендуется. Назовите этот тип
    
41. 
    Какие дополнительные требования предъявляются к антивирусным комплексам для защиты серверов, в сравнении с таковыми для защиты рабочих станций?
    
42. 
    Какие из перечисленных ниже протоколов используются для приема сообщений с сервера почтовым клиентом?
    
43. 
    Какие из перечисленных ниже червей были написаны под Linux?
    
44. 
    Какие из перечисленных операционных систем не являются серверными?
    
45. 
    Какие из перечисленных этапов не проводятся при внедрении комплексной системы антивирусной защиты
    
46. 
    Какие из угроз безопасности информации могут быть реализованы вредоносными программами
    
47. 
    Какие источники преимущественно используются для обновления клиентов в рамках комплексной системы антивирусной защиты?
    
48. 
    Какие подсистемы выделяются в системе администрирования?
    
49. 
    Каким образом можно провести удаленную установку антивирусного комплекса на рабочую станцию под управлением Microsoft Windows 98?
    
50. 
    Какими причинами можно объяснить масштабность эпидемии Slammer?
    
51. 
    Какой из известных червей вызвал DDOS атаку на сервер SCO, приведшую к отказу в обслуживании?
    
52. 
    Какой из перечисленных ниже протоколов используется для отправки почтовых сообщений?
    
53. 
    Какой из типов сканеров не является необходимым при антивирусной защите файлового сервера
    
54. 
    Какой протокол используется для интеграции средств антивирусной защиты с CheckPoint Firewall?
    
55. 
    Классификация классических вирусов по степени влияния на процесс проникновения в систему выглядит следующим образом:
    
56. 
    Классические вирусы делятся на следующие категории по типу заражаемых объектов:
    
57. 
    Лаборатория Касперского в среднем выпускает обновления антивирусных баз:
    
58. 
    Может ли один антивирусный комплекс для CheckPoint Firewall обслуживать несколько шлюзов?
    
59. 
    На какие категории подразделяются технологии вероятностного анализа?
    
60. 
    На почтовом клиенте установлен Microsoft Outlook 2000, который подключен к Microsoft Exchange Server 2000 используя MAPI протокол. На сервере Microsoft Exchange установлен антивирусный комплекс для проверки почтового потока. Какие из почтовых потоков клиента могут быть проверены на наличие вирусов?
    
61. 
    Нуждаются ли в антивирусной защите сервера баз данных?
    
62. 
    Основным отличительным признаком вируса является:
    
63. 
    Основными типами вредоносных программ являются:
    
64. 
    Откат обновления антивирусных баз необходим для:
    
65. 
    Первая и наиболее известная до сих пор троянская утилита удаленного управления называется:
    
66. 
    Первый зарегистрированный компьютерный вирус был написан для операционной системы:
    
67. 
    Первым специализированным антивирусом для проверки почтовых сообщений, проходящих через Sendmail, стал:
    
68. 
    Первым червем, распространяющимся через Bluetooth, стал
    
69. 
    Перечислите возможные схемы работы системы обновления КСАЗ:
    
70. 
    Перечислите используемые в системах управления режимы обновления клиентов
    
71. 
    Перечислите основные преимущества систем антивирусной защиты, построенных на базе продуктов нескольких производителей (на различных уровнях КСАЗ используются продукты разных производителей):
    
72. 
    Перечислите основные преимущества систем антивирусной защиты, построенных на базе продуктов одного производителя:
    
73. 
    Перечислите типовые узлы локальной сети
    
74. 
    Перечислите требования к основному функционалу антивирусного комплекса для проверки почтового потока
    
75. 
    По какой причине рекомендуется отключать уведомление отправителя зараженного письма?
    
76. 
    По каналам распространения черви подразделяются на:
    
77. 
    По типам выполняемых действий трояны делятся на:
    
78. 
    Полиморфный вирус это:
    
79. 
    Политики антивирусов для клиентских компьютеров применяются для:
    
80. 
    Пользователь загружает файлы с Интернет-сайта, используя протокол HTTPS. Будет ли проверен загружаемый файл универсальным антивирусным средством, которое используется в режиме "в разрыв"?
    
81. 
    Пользователь загружает файлы с Интернет-сайта, используя протокол HTTPS. Будет ли проверен загружаемый файл антивирусным средством для CheckPoint Firewall, который используется в качестве шлюза?
    
82. 
    Пользователь организации загружает по протоколу FTP файл, заархивированный и разбитый на части при помощи WinRAR 3.0. Архив защищен паролем. Может ли такой в этом случае вирус быть обнаружен антивирусным комплексом, установленным на шлюзе и выполняющим проверку FTP-потока?
    
83. 
    Пользователь организации загружает по протоколу HTTP файл, заархивированный и разбитый на части при помощи WinRAR 3.0 Архив защищен паролем. Может ли такой в этом случае вирус быть обнаружен антивирусным комплексом, установленным на шлюзе и выполняющим проверку HTTP-потока?
    
84. 
    Пользователю организации отправляется файл, заархивированный и разбитый на части при помощи WinRAR 3.0 Архив защищен паролем. Может ли такой вирус быть обнаружен антивирусным комплексом, установленным на шлюзе и выполняющим проверку SMTP-потока?
    
85. 
    При использовании проверки FTP-потока, возможно возникновение следующей проблемы: пользователь загружает файл большого размера, который предварительно должен быть проверен на наличие вирусов. Ожидание загрузки файла для проверки антивирусом на шлюзе приводит к тайм-ауту веб-браузера на клиенте. Каким образом производители антивирусов решают эту проблему?
    
86. 
    При использовании проверки HTTP-потока, возможно возникновение следующей проблемы: пользователь загружает файл большого размера, который предварительно должен быть проверен на наличие вирусов. Ожидание загрузки файла для проверки антивирусом на шлюзе приводит к тайм-ауту веб-браузера на клиенте. Каким образом производители антивирусов решают эту проблему?
    
87. 
    Применительно к почтовым системам, аббревиатура MTA означает:
    
88. 
    Применяемые для обнаружения вирусов технологии можно разделить на:
    
89. 
    Программа Морриса, вызвавшая первую массовую эпидемию в 1988 году, была:
    
90. 
    Проектная документация комплексной системы антивирусной защиты (КСАЗ) включает в себя:
    
91. 
    Протокол CVP используется при интеграции антивирусных средств со шлюзом
    
92. 
    Рекомендуемое Microsoft количество потоков сканирования для сервера вычисляется по формуле
    
93. 
    Сервер баз данных используется в работе сервера управления КСАЗ для:
    
94. 
    Сигнатура вируса это:
    
95. 
    Система защиты серверов и рабочих станций разделяется на следующие подсистемы:
    
96. 
    Случайная задержка выполнения групповых задач нужна для:
    
97. 
    Согласно статье 273 УК РФ, создание, использование или распространение вредоносных программ для ЭВМ карается лишением свободы:
    
98. 
    Создание комплексной системы антивирусной защиты (КСАЗ) подразумевает принятие:
    
99. 
    Теорему о невозможности создания антивируса, обнаруживающего все вирусы на свете, сформулировал и доказал:
    
100. 
     Укажите основные недостатки AVAPI 1.0:
     
101. 
     Укажите основные недостатки систем антивирусной защиты, построенных на базе продуктов нескольких производителей перед системами, построенными на базе продуктов одного производителя
     
102. 
     Укажите основные недостатки установки универсального комплекса проверки Интернет-потоков по схеме "Брандмауэр – Прокси-сервер – Сервер проверки" перед схемой "Брандмауэр – Сервер проверки – Прокси-сервер":
     
103. 
     Укажите требования к системе управления антивирусным комплексом для проверки почтового потока
     
104. 
     Что из перечисленного ниже не является задачей антивируса?
     
105. 
     Штатным средством интеграции антивирусов с Sendmail сегодня является
     
106. 
     Эксплуатационная документация комплексной системы антивирусной защиты (КСАЗ) включает в себя:
     

(программ: 450)

Профессиональная переподготовка

(программ: 14)

Лицензия на образовательную деятельность и приложение

- ошибки в текстах вопросов являются оригинальными (ошибки ИНТУИТ) и не исправляются нами по следующей причине - ответы легче подбирать на вопросы со специфическими ошибками в текстах;

- часть вопросов могла не войти в настоящий перечень, т.к. они представлены в графической форме. В перечне возможны неточности формулировок вопросов, что связано с дефектами распознавания графики, а так же коррекцией со стороны разработчиков курсов.

Самые страшные компьютерные вирусы в истории Интернета (3)

В 2004 году этот червь наделал много шуму. Больше всего от вируса пострадали домашние компьютеры и небольшие фирмы, хотя серьезные проблемы испытали и некоторые крупные компании. Только в почтовой службе Германии зараженными оказались до 300 тыс. терминалов, из-за чего сотрудники не могли выдавать наличные деньги клиентам. Жертвами червя стали также компьютеры инвестиционного банка Goldman Sachs, Еврокомиссии, 19 региональных офисов управления береговой охраны Британии. В одном из терминалов лондонского аэропорта Hithrow у авиакомпании British Airways отказала половина всех компьютеров на стойках регистрации пассажиров, а в американском городе Новый Орлеан до 500 больниц были закрыты в течение нескольких часов. Пострадали также социальные и здравоохранительные учреждения в Вашингтоне.
Чтобы заразиться этим червем, достаточно было просто подключить свой компьютер к Интернету и подождать несколько минут. Червь проникал на компьютер, сканировал Интернет для поиска других компьютеров с незакрытой дырой и рассылал им вирус. Особого вреда вирус не причинял - он просто перезагружал компьютер. К поиску червя подключилось специальное кибберагенство ФБР. Главная жертва корпорация Microsoft назначила цену 250.000$ за злоумышленника.И им оказался . ученик средней школы Свен Яшан из немецкого города Роттенбурга. Как полагают некоторые обозреватели, подросток создал Sasser не только для того, чтобы прославиться, но и из сыновней любви - чтобы поправить дела небольшой компании PC-Help по обслуживанию ПК, принадлежащей его матери.

Этот червь был запущен в январе 2004 года. На тот момент он становится самым быстрым червем, который распространяется по электронной почте. Каждый последующий зараженный компьютер отправлял спама больше чем предыдущий. Кроме этого, он изменял операционную систему, блокируя доступ к сайтам антивирусных компаний, сайту Microsoft, новостным лентам. Этим вирусом была даже предпринята попытка DDOS-атаки на сайт Microsoft. Одновременно все множество зараженных компьютеров обрушило огромное количество запросов с разных концов света на сайт Microsoft. Сервер направляет все свои ресурсы на обработку этих запросов и становится практически недоступным для обычных пользователей. Пользователи компьютеров, с которых идет атака, могут даже и не подозревать о том, что их машина используется хакерами.

Впервые появился в сети в 2008 году. Один из опаснейших на сегодняшний день компьютерных червей. Этот вирус атакует операционные системы семейства Microsoft Windows. Червь находит уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. На январь 2009 года вирус поразил 12 миллионов компьютеров во всем мире. Вирус нанес такой вред, что компания Microsoft обещала 250 000 долларов за информацию о создателях вируса.
Этот список, как вы сами понимаете, не закончен. Каждый день выходят новые вирусы, и нет гарантии что следующий из них не вызовет очередную эпидемию. Установка лицензионного антивируса от авторитетной компании-производителя антивирусного ПО на лицензионную операционную систему с последними обновлениями поможет максимально обезопасить ваш компьютер.

Что нужно знать о компьютерных вирусах (1)

Широко распространенный в прошлом файлово-загрузочный вирус OneHalf. Проникая в компьютер с операционной системой MS-DOS, этот вирус заражает главную загрузочную запись. Во время загрузки компьютера вирус постепенно шифрует секторы жесткого диска, начиная с самых последних секторов. Когда резидентный модуль вируса находится в памяти, он контролирует все обращения к зашифрованным секторам и расшифровывает их, так что все программное обеспечение компьютера работает нормально. Если OneHalf просто удалить из оперативной памяти и загрузочного сектора, то станет невозможно правильно прочитать информацию, записанную в зашифрованных секторах диска.
Когда вирус зашифрует половину жесткого диска, он отображает на экране надпись:
Dis is one half.
Press any key to continue .
После этого вирус ожидает, когда пользователь нажмет на какую-либо клавишу и продолжает свою работу
Вирус OneHalf использует различные механизмы для своей маскировки. Он является стелс-вирусом и использует при распространении полиморфные алгоритмы. Обнаружение и удаление вируса OneHalf — достаточно сложная задача, доступная далеко не всем антивирусным программам.

Вирусы-спутники
Как известно, в операционных системах MS-DOS, и Microsoft Windows различных версий существуют три типа файлов, которые пользователь может запустить на выполнение. Это командные или пакетные файлы BAT, а также исполнимые файлы COM и EXE. При этом в одном каталоге могут одновременно находиться несколько выполнимых файлов, имеющих одинаковое имя, но разное расширение имени.
Когда пользователь запускает программу и то вводит ее имя в системном приглашении операционной системы, то он обычно не указывает расширение файла. Какой же файл будет выполнен, если в каталоге имеется несколько программ с одинаковым именем, но разным расширением имени?
Оказывается, в этом случае запустится файл COM. Если в текущем каталоге или в каталогах, указанных в переменной среды PATH, существуют только файлы EXE и BAT, то выполняться будет файл EXE.
Когда вирус-спутник заражает файл EXE или BAT, он создает в этом же каталоге еще один файл с таким же именем, но с расширением имени COM. Вирус записывает себя в этот COM-файл. Таким образом, при запуске программы первым получит управление вирус-спутник, который затем может запустить эту программу, но уже под своим контролем.
Вирусы в пакетных файлах
Существует несколько вирусов, способных заражать пакетные файлы BAT. Для этого ими используется весьма изощренный способ. Мы рассмотрим его на примере вируса BAT.Batman. При заражении пакетного файла в его начало вставляется текст следующего вида:

В квадратных скобках [. ] здесь схематично показано расположение байт, которые являются процессорными инструкциями или данными вируса. Команда @ECHO OFF отключает вывод на экран названий выполняемых команд. Строка, начинающаяся с команды REM, является комментарием и никак не интерпретируется.
Команда copy %0 b.com>nul копирует зараженный командный файл в файл B.COM. Затем этот файл запускается и удаляется с диска командой del b.com.
Самое интересное, что файл B.COM, созданный вирусом, до единого байта совпадает с зараженным командным файлом. Оказывается, что если интерпретировать первые две строки зараженного BAT-файла как программу, она будет состоять из команд центрального процессора, которые фактически ничего не делают. Центральный процессор выполняет эти команды, а затем начинает выполнять настоящий код вируса, записанный после оператора комментария REM. Получив управление, вирус перехватывает прерывания ОС и активизируется.
В процессе распространения вирус следит за записью данных в файлы. Если первая строка, записываемая в файл, содержит команду @echo, тогда вирус считает, что записывается командный файл и заражает его.

Что нужно знать о компьютерных вирусах (2)

Шифрующиеся и полиморфные вирусы

Чтобы затруднить обнаружение, некоторые вирусы шифруют свой код. Каждый раз, когда вирус заражает новую программу, он зашифровывает собственный код, используя новый ключ. В результате два экземпляра такого вируса могут значительно отличаться друг от друга, даже иметь разную длину. Шифрование кода вируса значительно усложняет процесс его исследования. Обычные программы не смогут дизассемблировать такой вирус.
Естественно, вирус способен работать только в том случае, если исполняемый код расшифрован. Когда запускается зараженная программа (или начинается загрузка с зараженной загрузочной записи BR) и вирус получает управление, он должен расшифровать свой код.
Для того чтобы затруднить обнаружение вируса, для шифрования применяются не только разные ключи, но и разные процедуры шифрования. Два экземпляра таких вирусов не имеют ни одной совпадающей последовательности кода. Такие вирусы, которые могут полностью изменять свой код, получили название полиморфных вирусов.

Что нужно знать о компьютерных вирусах (3)

Известен греческий миф о том, как была завоевана неприступная Троя. Греки оставили ночью у ворот Трои деревянного коня, внутри которого притаились солдаты. Когда горожане, движимые любопытством, втащили коня за стены города, солдаты вырвались наружу и завоевали город.
Троянские программы действуют подобным образом. Их основное назначение совершенно безобидное или даже полезное. Но когда пользователь запишет программу в свой компьютер и запустит ее, она может незаметно выполнять другие, чаще всего, вредоносные функции.
Чаще всего троянские программы используются для первоначального распространения вирусов, для получения удаленного доступа к компьютеру через Интернет, для кражи данных или их уничтожения. После того как троянская программа выполнит свою скрытую функцию, она может самоуничтожиться, чтобы затруднить обнаружение причины нарушений в работе системы.

Логической бомбой называется программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия. Логическая бомба может сработать по достижении определенной даты, когда в базе данных появится или исчезнет запись и так далее. Условие, при котором срабатывает логическая бомба, определяется ее создателем. Логическая бомба может быть встроена в вирусы, троянские программы, и даже в обыкновенное программное обеспечение.

Программы-черви нацелены их авторами на выполнение определенной функции. Они могут быть ориентированы, например, на проникновение в систему и модификацию некоторых данных. Можно создать программу-червь, подсматривающую пароль для доступа к банковской системе и изменяющую базу данных таким образом, чтобы на счет программиста была переведена большая сумма денег.
Широко известная программа-червь была написана студентом Корнельского (Cornell) университета Робертом Моррисом (Robert Morris). Червь был запущен в Интернет второго ноября 1988 года. За пять часов червь Морриса смог проникнуть на более чем 6000 компьютеров, подключенных к этой сети.
Очень сложно узнать, является ли программа троянской и заложена ли в нее логическая бомба. Программист имеет полную власть над своим детищем. Изучение сомнительной программы или системы может занять очень много времени и потребовать значительных финансовых затрат. Поэтому мы не рекомендуем обмениваться программным обеспечением со своими знакомыми и приобретать незаконные копии фирменного программного обеспечения. В любую из этих программ могут быть встроены дополнительные вредоносные функции. Их активация может привести к нарушению работы компьютерной системы.

Основные каналы распространения вирусов

Классические способы распространения

Dis is one half.
Press any key to continue…

Did you leave the room?

Если вам не довелось видеть этого в живую, то позвольте описать ощущения, возникающие у лицезреющих эти строки: недоумение (примерно 1 минуту), банальный страх (

2 минуты), лихорадочный поток мыслей (что это? что делать? — в среднем 5-10 минут), гнев (что за х…?) и снова лихорадочный поток мыслей и действий (где же эта гребаная дискета с Web’ом?), вот примерно те пограничные эмоциональные ощущения, которые чувствовали владельцы зараженных машин.

Если вы еще не догадались, то речь идет о вирусе, который большинство помнят как — OneHalf, хотя он также известен и под другими именами — Slovak Bomber, Explosion-II, Freelove.

Впервые вирус был обнаружен в мае 1994 года в США и Европе, но было уже поздно и вирус уже широко распространился по всему миру. Распространялся OneHalf в основном через съемные носители (тогда это были в основном дискеты). Он является чрезвычайно примечательным по своим свойствам даже сейчас, а в то время это было новое слово в ремесле вирмастеров, если можно так выразиться конечно.

Во-первых, OneHalf — полиморф (не первый и далеко последний, но современные вирусы без полиморфизма просто не выживают, для несведущих полиморфным считается такой вирус, каждая новая копия которого может ни в одном байте не совпадать с предыдущей), во-вторых, вирус был файлово-загрузочным (заражал MBR и boot-сектора дискет, а также COM и EXE файлы), в-третьих, тело вируса было зашифровано, в-четвертых, до создания нормальных средств противодействия, OneHalf гарантировано разрушал данные, ну и пожалуй последнее, стелс-функциональность, встроенная в вирус, позволяла оставаться ему невидимым для системы.

Эпидемия передавалась дискетно-ручным способом. При обращении зараженной системы к дискете для записи OneHalf перехватывал его и проверял размер, имя (не трогал файлы с именами SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV, CHKDSK, AIDS, ADINF, WEB) и зараженность файла. Если размер, имя не соответствовали алгоритму или файл уже был заражен, то заражение не производилось. Если же файл был чист и соответствовал требованиям вируса, то производилось его заражение.

При пользовании зараженной дискетой (загрузки с нее или запуске зараженного файла), вирус при помощи собственного обработчика прерывания Int12h оценивал размеры свободной оперативной памяти и наличие в ней своей копии — прерывание Int21h.

Если вируса в памяти не было и ее больше 4 [кБ], он искал признаки заражения MBR, если таковых не находилось он заражал MBR. Для этого он на место оригинального MBR записывал свой обработчик загрузки тела вируса, затем записывал 7 секторов кода своего тела в 7 секторов от конца нулевой дорожки диска в скрытых секторах, а после всего этого оригинальный MBR в восьмой сектор от конца нулевой дорожки диска. После записи своего тела на диск или при обнаружении уже зараженного MBR, OneHalf проверял память и при отсутствии своей копии переписывал ее с диска в память.

После того, как вирус оказывался загружен в оперативу, руль системы был у него в руках. Дальше злодей считывал из MBR нижнюю границу зашифрованной дорожки и если она не дошла до 7 дорожки от начала, то вирь шифровал две дорожки вверх от нижней границы уже зашифрованных, при этом использовался случайный ключ, содержащийся в MBR. Если шифрование прошло удачно, в MBR записывалось новое значение нижней границы зашифрованных дорожек. (для работы он использовал свои обработчики прерываний Int01h, Int12h, Int1Ch, Int13h, Int21h, Int24h). Если же нижняя граница дошла до 7 дорожки, шифрование не производилось во избежание повреждения системных областей диска.

Затем OneHalf анализировал три параметра: зашифрованость половины диска, кратность системной даты четырем и четность счетчика заражений (содержался в теле самого вируса); при положительной проверке на дисплей выводилось сообщение:

Dis is one half.
Press any key to continue…

Если проверка параметров отрицательна (т. е. половина диска не зашифрована, счетчик нечетен или системная дата не подходящая), то сообщение не выводилось, а вирус отдавал управление оригинальному загрузчику до следующей загрузки компьютера, при этом сохраняя свои обработчики прерываний.

При работе пользователь ничего не замечал, поскольку OneHalf, сидящий в памяти перехватывал обращения к уже зашифрованным дорожкам и расшифровывал их на лету без всяких тормозов, скрывал уменьшение размера оперативки и приращение длины зараженных файлов для всех программ кроме CHKDSK и Norton Commander, но это ничего не давало, поскольку при попытке трассировки вируса в памяти он 100%-но вешал систему циклом без выхода с помощью своего обработчика прерываний Int01h.

В зависимости от модификации OneHalf варьировались размеры приращений зараженных файлов, 3544, 3577 или 3518 байта, — в связи с чем в антивирусных базах версии так и назывались OneHalf.3544, OneHalf.3577 и OneHalf.3518.

Также в разных версиях OneHalf при зашифровке половины диска на дисплей выдавались разные сообщения:

Dis is one half.
Press any key to continue …

Dis is TWO HALF.
Fucks any key to Goping…

HET — фu3uke u ucTopuu B pacnucaHuu uy7!

Disk is Tpu half.
(Bepx, Hu3 u Pe6po)

Dis is 3 HALF !.
Fucks any key to LoHing…

A cup of Beer ?.
See you later…

Почему произошла эта эпидемия? Мне думается, что дело было так. Вирус появился на свет где-то зимой 1994 года, ближе к весне произошло массовое распространение, продолжавшееся еще несколько месяцев незаметно для пользователей и разработчиков антивирусов. Первые известия о роковых строках на экранах дисплеев появились только в мае-июне, так как для полной шифровки винчестера емкостью 0.5 [ГБ], необходимо было перезагрузить компьютер около 500 раз, что при нормальной эксплуатации ПК занимало несколько месяцев. Поэтому OneHalf и был упущен, а эпидемия разошлась, чуть не став пандемией.

Что немаловажно, так это то, что для избавления от вируса недостаточно было простой перезаписи MBR, которая привела бы только к утере ключа к шифрованным данным, а вследствие этого и к потере данных. Для гарантированного избавления необходима была тонкая работа антивирусных утилит, как по обезвреживанию, так и по расшифровке данных.

Распространение вируса и его модификаций происходило еще несколько лет, но не такими взрывными темпами, даже сейчас он еще бродит по старым дискетам и раритетным компам.