Полигон-2

slc написал:

[q]

вытащить винт, воткнуть в другой комп ?

[/q]

Ни в коем случае!!! OneHalf нужно лечиить только в родной системе, иначе потеряются все те данные, что вирь успел
зашифровать. С CD загружатся было-б значительно проще, там и антивирь мощнее можно приткнуть, да и быстрее всё.

Сорцы великого творения: http://spth.virii.lu/asterix1/dl/onehalf.zip

SKcorp написал:

[q]

[/q]

Так и делали.
Досовый веб лечил onehalf.
Если не изменяет память ,то длинна вируса 3544байта.
Ко мне друг детства часто приходил с дискетами от роботрона .в техникуме роботроны стояли,писишные.
Аидстест не ловил,вот у меня дома на четверке лечили вебычем.
Потом я давал другу наклейку на системную дискетку.
И желал удачи! На дворе стоял 98год :-)

Вот нерезидентный den2 virus,штука посерьезнее.

Попробовать 16-битную версию. Емнимс, 4.14 или 4.16 ещё влезала вирусной базой в дос-память...
Сейчас разрыл архив, нашёл 16-битного 4.14 - на 386 запускается, в вирлисте onehalf есть.

Не в файлах, а в памяти. Тело вируса зашифровано и на чистой системе его искать не слишком полезно.

BTW, статейка из дрвебовского вирлиста:

OneHalf.3544 (1-7), 3570, 3577, 3666
Очень опасные полиморфные файлово-загрузочные стелс-вирусы. Используют
алгоритм заражения, похожий на алгоритм CommanderBomber. Но помимо
того, что "усеивают пятнами" своего кода (10 "пятен" по 10 байт)
инфицированный файл, производят шифрование основного тела вируса,
расположенного в конце файла. При первом запуске инфицированного файла,
заражают MBR "винчестера". Оригинальный MBR и 7 секторов своего тела
"прячут" в последних секторах 0 цилиндра жесткого диска. При
перезагрузке компьютера, "отрезают" от доступной DOS памяти 4K,
считывают в "отрезанную" верхнюю область памяти свое продолжение - 7
секторов, и перехватывают INT 13h и INT 1Ch. Контролируют с помощью INT
1Ch установку DOS'овского INT 21h, и перехватывают его. При каждой
перезагрузке системы с жесткого диска последовательно, начиная с
последних цилиндров, шифруют все сектора двух цилиндров на каждой
головке диска. Когда вирусы находятся в памяти, они контролируют чтение
секторов данных цилиндров и расшифровывают их. Если же вирусы будут
удалены из MBR и памяти, то восстановление зашифрованных секторов
окажется невозможным. При зашифровывании половины диска вирусы выводят
на экран фразу:

Dis is one half.
Press any key to continue ...

OneHalf.3544 (3) выводит текст:

Dis is TWO HALF.
Fucks any key to Goping...

OneHalf.3544 (4):

HET - фu3uke u ucTopuu B pacnucaHuu uy7 !

OneHalf.3544 (5):

Disk is Tpu half.
(Bepx, Hu3 u Pe6po)

OneHalf.3544 (6):

Dis is 3 HALF !.
Fucks any key to LoHing...

OneHalf.3544 (7):

A cup of Beer ?.
See you later...


После этого ожидают нажатия на любую клавишу. После чего продолжают
свою дальнейшую инсталляцию в память. При попытке трассировки
резидентной части вируса, предпринимают некоторые простые, но
действенные меры "завешивания" системы. Содержат текстовые строки "Did
you leave the room?" или "DidYouLeaveTheRoom?". OneHalf.3544 (3) имеет
текст "User is loh !". Не заражают файлы с именами SCAN,CLEAN,FINDVIRU,
GUARD,NOD,VSAFE,MSAV,CHKDSK,AIDS,ADINF,WEB. Вирусы OneHalf.3544 (4,5)
не зашифровывают диск. OneHalf.3544 (4) содержит тексты "Copyright©
by Automatic Integerated Digital Software", "3TO - HE Bupyc, cynepxakep
Ara6ekoB !", "CugopeHKOB - gypak !!!". OneHalf.3544 (6) имеет текст
"WEB - LOH !!!", Onehalf.3666 - "Hail to the GREAT OneHalf's author!".
OneHalf.3544 (7): "Doyou want to Drink ?".

P.S. Видимо расслабили современные вирусописатели, которые в большинстве своём ничего хитрее трояна придумать не могут. OneHalf в сравнении с ними настоящий шедевр Вот и сложно нынче даже помыслить, что стандартными противотроянными методами с ним не справиться...