From: Juraj Panko <Juraj.Panko@TUKE.SK>
Subject: Re: OneHalf
Date: Wed, 15 Feb 1995 14:36:57 +0100
Next Article (by Subject): Re: OneHalf Alois Loyka
Previous Article (by Subject): Re: OneHalf Petr Snajdr
Top of Thread: OneHalf Jaroslav Lesak
Next in Thread: Re: OneHalf Alois Loyka
Articles sorted by: [Date]
[Author]
[Subject]
-----BEGIN PGP SIGNED MESSAGE----- Dobry den ! According to Jaroslav Lesak. > nemate nekdo zkusenosti s virem OneHalf. Potreboval > bych poradit jak se da tento virus zjistit a pripadne odstranit a jak se > projevuje navenek. Dostal jsem totiz hlasku, ze pracoviste, kde jsem byl > minuly tyden, bylo timto virem napadeno. Chtel bych se presvedcit, zda > jsem si ho odtud neprinesl. Obradte sa prosim na klub anti-vir@ccsun.tuke.sk (standardtne subscribecxez listserv@ccsun.tuke.sk) K virusu ONE Half prikladam jeho charakteristiku zaslanu do tohoto klubu panom Uhrikom: ;Virus ONEHALF, pamatovo rezidentny infektor COM, EXE suborov a MASTER BOOTu ;pridava 3544 bajtov na koniec nakazeneho suboru, alebo sa uklada ;v poslednych 7 sektoroch 0-tej stopy (za master boot). Povodny MASTER BOOT ;sektor uklada do sektoru max.sectors-7 nultej stopy. Rutinu BOOTu prepisuje ;svojim (kratkym) zavadzacim kodom, ktory je nasledovany dvojbajtovym cislom ;valca, ktory bol zakodovany ako posledny. ;Koduje obsah posledneho logickeho disku, xorovanim jedneho valca na kazde ;zavedenie systemu (postupuje sa od konca tohoto disku k jeho zaciatku). ;Po istom pocte zakodovanych valcov (polovici) sa moze objavit pri zavadzani ;systemu hlasenie 'Dis is one half. Press any key to continue.' ;Zasadne sa nemnozi na pevnom disku pri spustani suborov, ale subory spustane, ;otvarane alebo vytvarane na diskete alebo sietovom disku su napadane. ;Eq, subor kopirovany z diskety bude najprv napadnuty na diskete a uz ;napadnuty bude skopirovany na pevny disk. ;Pri napadani suborov je kod virusu kodovany xorovanim a dekoder tohoto kodu ;je v poslednom segmente hostitelskeho suboru vo forme blokov, ktore obsahuju ;1 instrukciu dekodera, "prazdne" instrukcie a skok na dalsi blok dekodera. ;Tento skok moze byt blizky alebo kratky. (Vynimkou je posledny blok) ;Dekoder je POLYMORFNY, modifikuju sa pouzivane registre, xorovacie hodnoty ;a umiestnenie blokov dekodera v hostitelskom subore. ;Virus pouziva STEALTH techniky. Nedovoli citat obsah sektorov, v ktorych sa ;nachadza jeho BOOT verzia, citanie MASTER BOOTu presmeruje na povodnu verziu. ;Zaroven upravuje dlzky suborov do stavu, ako boli pre nakazenim virusom. Julo. (uhrik@ruzin.ef.tuke.sk) Popis sa tyka prvej verzie virusu One_half - jar 1994. Na odstranenie boli naprogramovane specialne jednoucelove programy, ktoree najdete na anonymnom ftp servri hron.ef.tuke.sk, alebo na servri ccnews.ke.sanet.sk (tam v adreasri pub/msdos/antivir/special) Medzitym sa vsak objavili dalsie dva mutacie tohoto viru, o ktorych zial v tejto chvili neviem povedat nic blizsie, obradte sa prosim na horeuvedeny diskusny klub. Dovidenia - -- ******************* Juraj Panko panko@ccsun.tuke.sk ******************* -----BEGIN PGP SIGNATURE----- Version: 2.6 iQBVAgUBL0IDdKH97FgVIuKRAQEYZAIAizLnhSbyuBo3axwtsWPzOotiJKM8MgiG UN1OpU8xFUx8xNocoW9W06r3SFYi5kPLalZg0vQir01Pd6ve0fRoig== =GSF5 -----END PGP SIGNATURE-----
Next Article (by Subject): Re: OneHalf Alois Loyka
Previous Article (by Subject): Re: OneHalf Petr Snajdr
Top of Thread: OneHalf Jaroslav Lesak
Next in Thread: Re: OneHalf Alois Loyka
Articles sorted by: [Date]
[Author]
[Subject]