OneHalf

OneHalfは、1994年10月に発見されたDOSベースのポリモーフィックコンピュータウイルス（ハイブリッドブートおよびファイル感染型ウイルス）です。SlovakBomber、FreeloveまたはExplosion-IIとも呼ばれます。ハードディスクのマスターブートレコード（MBR）と、拡張子が.COM、.SCR、および.EXEのファイルに感染します。ただし、SCAN、CLEAN、FINDVIRU、GUARD、NOD、VSAFE、MSAV、またはCHKDSKが名前に含まれるファイルには感染しません。

ボンバーで導入された「パッチ感染」の手法を実装した最初のウイルスの1つとしても知られています。

OneHalfには約20種類のバリエーションがあり、すべて機能的に類似した動作をしています。

ペイロード

OneHalfは、固有のペイロードで知られています。起動するたびに、ユーザーのハードディスクの暗号化されていない2つのシリンダーを暗号化しますが、アクセス時にそれらを一時的に解読します。これにより、ユーザーがハードディスクがこのように暗号化されていることに気付かないようにし、暗号化をさらに続行できるようにします。また、コンピューター上のプログラムから実際のMBRを隠し、検出を困難にします。暗号化は、ランダムに生成されたキーによるビット単位のXORによって行われます。このキーは、同じビットストリームとのXORによって簡単に復号化できます。ウイルスがディスクの半分を暗号化した後、および/または任意の月の4日、8日、10日、14日、18日、20日、24日、28日、30日、およびその他の条件で、ウイルスはメッセージを表示します。

Disは半分です。

....

何かキーを押すと続行します ...

除去

OneHalfのユニークなペイロードにより、除去が難しくなります。単にウイルスを除去してMBRをクリーニングすると、データが暗号化されたままになり、復元するためにバックアップが必要になります。そのため、ウイルスを削除する前にハードディスクを復号化するための特別なツールが必要です。そのようなツールの1つは、SAC（Slovak Antivirus Center）がこの仕事をするために開発されました。