One_Half.3544

Tento virus je pam∞¥ov∞ rezidentnφ, multipartitnφ, tunelujφcφ, stealth a polymorfnφ. Virus po svΘ aktivaci nejprve krokuje p°eruÜenφ 13h a₧ do segmentu MS-DOSu. Pak se pokusφ infikovat tabulku rozd∞lenφ pevnΘho disku (DPT). Pokud se mu to povede, ulo₧φ svΘ t∞lo do poslednφch 7 sektor∙ nultΘ stopy, p∙vodnφ DPT do osmΘho sektoru od konce stopy a ukonΦφ svou Φinnost. V p°φpad∞, ₧e se mu infekce pevnΘho disku nezda°φ, stane se okam₧it∞ rezidentnφm a napadß soubory typu COM i EXE delÜφ ne₧ 1000 byt∙. Soubory napadß p°i jejich spuÜt∞nφ, otev°enφ Φi p°ejmenovßnφ, a to jak na pevnΘm disku tak i na disketßch nebo sφ¥ov²ch discφch. Virus testuje jmΘna soubor∙ a nenapadß soubory SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV a CHKDSK. Po zavedenφ systΘmu z napadenΘho pevnΘho disku si virus vyhradφ poslednφ 4 KB pam∞ti RAM, instaluje se do vyhrazenΘ pam∞ti a stane se rezidentnφm. Nynφ napadß soubory pouze na disketßch Φi na sφ¥ov²ch discφch. NapadenΘ soubory prodlu₧uje o 3544 nebo 3577 byt∙. P°φznakem napadenφ souboru je urΦitß zßvislost mezi datem a Φasem vzniku souboru. Autor viru One Half se nejspφÜe nechal inspirovat bulharsk²m virem Commander Bomber. Podobn∞ jako v tomto viru, i zde je dek≤dovacφ smyΦka rozprost°ena v deseti ·secφch nßhodn∞ rozmφst∞n²ch po p∙vodnφm souboru. JednotlivΘ ·seky jsou navzßjem provßzßny dv∞ma typy skok∙ a jsou dopln∞ny nßhodn²mi jednobytov²mi instrukcemi. Celß tato konstrukce dek≤dovacφ smyΦky mß dvojφ ·Φel. Jednak jsou napadenΘ soubory bez dek≤dovanφ virem v pam∞ti nefunkΦnφ a b∞₧n²mi metodami z nich nelze virus odstranit, jednak nelze tento virus vyhledßvat pomocφ textovΘho °et∞zce. èkody, kterΘ m∙₧e tento virus napßchat, mohou b²t znaΦnΘ. Po ka₧dΘm zavedenφ systΘmu virus zaxoruje poslednφ dv∞ stopy ka₧dΘho povrchu pevnΘho disku s nßhodn²m Φφslem, kterΘ si vygeneruje p°i instalaci do DPT. ╚φslo poslednφ k≤dovanΘ stopy si uchovßvß ve svΘm zavad∞Φi v DPT. Po zak≤dovßnφ poloviny disku se v zßvislosti na datu m∙₧e zobrazit hlßÜenφ: äDIS IS ONE HALF ... PRESS ANY KEY TO CONTINUE". Virus pak pokraΦuje v k≤dovßnφ. Prvnφ t°etinu disku virus ponechß nezak≤dovanou. One Half pou₧φvß techniky stealth. Pokud je virus v pam∞ti aktivnφ, nenφ xorovßnφ disku ani prodlou₧enφ napaden²ch souboru patrnΘ.

Zdroj: Alwil software - v²robce antiviru AVAST

Jedno·Φelov² antivirus:

OneHalf.3544, .3577
  • Popis/pou₧itφ:


    • N∞kolik dobr²ch rad:

    P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

    Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

    Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

    Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.