Go to listserv.cesnet.cz LWGate Home Page.From: Juraj Panko <Juraj.Panko@TUKE.SK>
Subject: Re: OneHalf
Date: Wed, 15 Feb 1995 14:36:57 +0100
Next Article (by Subject): Re: OneHalf Alois Loyka
Previous Article (by Subject): Re: OneHalf Petr Snajdr
Top of Thread: OneHalf Jaroslav Lesak
Next in Thread: Re: OneHalf Alois Loyka
Articles sorted by: [Date]
[Author]
[Subject]
-----BEGIN PGP SIGNED MESSAGE-----
Dobry den !
According to Jaroslav Lesak.
> nemate nekdo zkusenosti s virem OneHalf. Potreboval
> bych poradit jak se da tento virus zjistit a pripadne odstranit a jak se
> projevuje navenek. Dostal jsem totiz hlasku, ze pracoviste, kde jsem byl
> minuly tyden, bylo timto virem napadeno. Chtel bych se presvedcit, zda
> jsem si ho odtud neprinesl.
Obradte sa prosim na klub anti-vir@ccsun.tuke.sk (standardtne subscribecxez
listserv@ccsun.tuke.sk)
K virusu ONE Half prikladam jeho charakteristiku zaslanu do tohoto klubu
panom Uhrikom:
;Virus ONEHALF, pamatovo rezidentny infektor COM, EXE suborov a MASTER BOOTu
;pridava 3544 bajtov na koniec nakazeneho suboru, alebo sa uklada
;v poslednych 7 sektoroch 0-tej stopy (za master boot). Povodny MASTER BOOT
;sektor uklada do sektoru max.sectors-7 nultej stopy. Rutinu BOOTu prepisuje
;svojim (kratkym) zavadzacim kodom, ktory je nasledovany dvojbajtovym cislom
;valca, ktory bol zakodovany ako posledny.
;Koduje obsah posledneho logickeho disku, xorovanim jedneho valca na kazde
;zavedenie systemu (postupuje sa od konca tohoto disku k jeho zaciatku).
;Po istom pocte zakodovanych valcov (polovici) sa moze objavit pri zavadzani
;systemu hlasenie 'Dis is one half. Press any key to continue.'
;Zasadne sa nemnozi na pevnom disku pri spustani suborov, ale subory spustane,
;otvarane alebo vytvarane na diskete alebo sietovom disku su napadane.
;Eq, subor kopirovany z diskety bude najprv napadnuty na diskete a uz
;napadnuty bude skopirovany na pevny disk.
;Pri napadani suborov je kod virusu kodovany xorovanim a dekoder tohoto kodu
;je v poslednom segmente hostitelskeho suboru vo forme blokov, ktore obsahuju
;1 instrukciu dekodera, "prazdne" instrukcie a skok na dalsi blok dekodera.
;Tento skok moze byt blizky alebo kratky. (Vynimkou je posledny blok)
;Dekoder je POLYMORFNY, modifikuju sa pouzivane registre, xorovacie hodnoty
;a umiestnenie blokov dekodera v hostitelskom subore.
;Virus pouziva STEALTH techniky. Nedovoli citat obsah sektorov, v ktorych sa
;nachadza jeho BOOT verzia, citanie MASTER BOOTu presmeruje na povodnu verziu.
;Zaroven upravuje dlzky suborov do stavu, ako boli pre nakazenim virusom.
Julo. (uhrik@ruzin.ef.tuke.sk)
Popis sa tyka prvej verzie virusu One_half - jar 1994. Na odstranenie
boli naprogramovane specialne jednoucelove programy, ktoree najdete na
anonymnom ftp servri hron.ef.tuke.sk, alebo na servri ccnews.ke.sanet.sk
(tam v adreasri pub/msdos/antivir/special)
Medzitym sa vsak objavili dalsie dva mutacie tohoto viru, o ktorych zial v
tejto chvili neviem povedat nic blizsie, obradte sa prosim na horeuvedeny
diskusny klub.
Dovidenia
- --
*******************
Juraj Panko
panko@ccsun.tuke.sk
*******************
-----BEGIN PGP SIGNATURE-----
Version: 2.6
iQBVAgUBL0IDdKH97FgVIuKRAQEYZAIAizLnhSbyuBo3axwtsWPzOotiJKM8MgiG
UN1OpU8xFUx8xNocoW9W06r3SFYi5kPLalZg0vQir01Pd6ve0fRoig==
=GSF5
-----END PGP SIGNATURE-----
Next Article (by Subject): Re: OneHalf Alois Loyka
Previous Article (by Subject): Re: OneHalf Petr Snajdr
Top of Thread: OneHalf Jaroslav Lesak
Next in Thread: Re: OneHalf Alois Loyka
Articles sorted by: [Date]
[Author]
[Subject]