Virus One Half

Miloslav Marik MARI at decros.cz
Fri Apr 21 11:45:41 CEST 1995 

> Date sent:      Thu, 20 Apr 1995 17:13:41 MET-2DST
> Send reply to:  net at cs.felk.cvut.cz
> From:           "Jaroslav Biolek" <biolek at ro.vutbr.cz>
> To:             csinfo-l at earn.cvut.cz
> Subject:        Virus One Half
> Copies to:      net at cs.felk.cvut.cz

> Hezky podvecer,
> pred nedavnem probehla na tomto listu rozsahla diskuze o viru One
> Half. Tehdy jsem ji nevenoval primerenou pozornost. Mohl by mi prosim
> nekdo poslat jak se te bestie je mozne zbavit.
> Trapi nas na jednom PC uz druhy den a jiz si rekl ze nas nenecha ani
> nabootovat. Vali se v MBR a my nevime co s nim, nevedi si rady ani
> AVG, SCAN, F-PROT, FDISK+FORMAT .....
>
> Diky za kazdou informaci
>                                             Jarda Biolek


Virus ONE HALF (FREE LOVE)
1. Virus infikuje .COM, .EXE a MASTER BOOT. Pri prenosu infekce je
   virus velmi agresivni (hlida mnoho sluzeb na int 21h).
2. Virus se uklada do MASTER BOOT a poslednich 7 sektoru na 0. stope
   pevneho disku.
3. Virus sifruje disk xorem s hodnotou ulozenou v tele viru. Virus
   sifruje vzdy po BOOT dve stopy (tj. virus nesifruje pokud neni
   zapsan v MASTER BOOT).
4. Svoji pritomnost v pameti rozpoznava na int 21h, dotaz AX = 4B53h,
   odpoved AX = 454Bh. (Existuje patrne i varianta s jinymi hodnotami
   dotazu a odpovedi.)

Rozpoznani:
   Existuje dostatek antiviru na rozpoznani (napr Solomon Toolkit).
   Nemusi  byt ale vzdy rozpoznano 100 % infikovanych souboru (virus
   ma sifrovane telo, kod sifrovani je rozhozen po pameti).

Odstraneni:
   Z master boot:
   1. Desifrovat disk (nebo zkopirovat jeho obsah jinam).
   2. Boot z ciste diskety
   3. FDISK /MBR nebo jinak prepsat master boot pri zachovani
      informaci z partition table, vycistit zbytek 0. stopy (pro klid
      antiviru).

      Poznamka:
        Samotny FDISK neprepisuje MASTER BOOT (pouze partition table),
        FORMAT na tato mista disku nesaha vubec.
    4. Odstraneni s .COM a .EXE nedoporucuji. Jistejsi je program
       smazat a nahrat novy.

Ochrana:
    1. Chranit zapis do MASTER BOOT (radeji pomoci HARDWARE nez
       SOFTWARE).
    2. Hlidat si Int 21h na identifikacni sekvenci
    3. Nepouzivat nezname programy..

S pozdravem
MARI

---------------------------------------------------------------------
DECROS Ltd.                                     Tel/Fax: +42-38-33380
Skuherskeho 14                                      Tel: +42-38-34636
370 01 Ceske Budejovice                             Tel: +42-38-26690
Czech Republic                                      Fax: +42-38-27872

More information about the net mailing list