반쪽
OneHalf| 통칭 | 반쪽 |
|---|---|
| 기술명 | 반쪽 |
| 에일리어스 | 슬로바키아 폭격기 |
| 가족 | 반쪽 |
| 분류 | 바이러스 |
| 유형 | DOS |
| 서브타입 | 파일 및 부트 감염자 |
| 격리 | 1994 |
| 격리 지점 | 알 수 없는 |
| 원점 | 슬로바키아 |
OneHalf는 1994년 [1]10월에 발견된 DOS 기반의 다형 컴퓨터 바이러스(하이브리드 부트 및 파일 감염자)입니다.슬로바키아 폭격기, 프리러브 또는 폭발 [2]II로도 알려져 있다.하드 디스크의 Master Boot Record(MBR; 마스터 부트 레코드) 및 확장자를 가진 모든 파일에 감염됩니다.COM, .SCR 및.EXE.[3] 단,[4] 이름에 SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV 또는 CHKDSK가 포함된 파일은 감염되지 않습니다.
또한 Bomber에 도입된 "패치 감염" 기술을 구현한 최초의 바이러스 중 하나로 알려져 있습니다.
OneHalf에는 약 20개의 다른 베리안트가 있으며 모두 기능적으로 유사한 동작을 [5]합니다.
페이로드
OneHalf는 독특한 페이로드로 알려져 있습니다.부팅할 때마다 사용자의 하드디스크의 2개의 암호화되지 않은 실린더를 암호화하고 액세스 시 일시적으로 복호화합니다.이렇게 하면 사용자는 하드 디스크가 이렇게 암호화되어 있다는 것을 알아차리지 못하고 암호화를 계속할 수 있습니다.또한 실제 MBR을 컴퓨터 프로그램으로부터 숨겨 탐지를 더 어렵게 합니다.암호화는 랜덤하게 생성된 키에 의한 비트 단위 XORing에 의해 이루어집니다.이것은 같은 비트스트림으로 다시 XORing을 하는 것만으로 복호화할 수 있습니다.바이러스가 디스크의 절반을 암호화한 경우 및/또는 4일, 8일, 10일, 14일, 18일, 20일, 24일, 28일 및 30일 및 기타 조건에서 바이러스가 다음 [4]메시지를 표시합니다.
디스는 반쪽입니다.
계속하려면 [6]아무 키나 누르십시오...
제거
OneHalf의 고유한 페이로드로 인해 바이러스 제거 및 MBR 클리닝만 하면 데이터가 암호화된 상태로 유지되므로 데이터를 복원하려면 백업이 필요합니다.따라서 바이러스를 제거하기 전에 하드 디스크를 해독하려면 특수 도구가 필요합니다.이러한 툴 중 하나는 SAC(Slovak Antivirus Center)가 이 [2][7]작업을 수행하기 위해 개발되었습니다.
레퍼런스
- ^ "One Half Virus". VSUM. Retrieved 13 February 2013.
- ^ a b "One_Half Description - F-Secure Labs". www.f-secure.com.
- ^ "One-half virus". Proland Software. Retrieved 13 February 2013.
- ^ a b "Onehalf - The Virus Encyclopedia". virus.wikidot.com.
- ^ "One Half". ESET. Retrieved 13 February 2013.
- ^ "One_Half". Symantec. Archived from the original on 30 October 2015. Retrieved 13 February 2013.
- ^ "YouTube: danooct1: Virus.DOS.Onehalf Followup/Removal Attempt". danooct1. 25 September 2013. Retrieved 14 December 2014.
