Вирусы на нулевой дорожке

Обновлено: 28.03.2024

Dis is one half.
Press any key to continue…

Did you leave the room?

Если вам не довелось видеть этого в живую, то позвольте описать ощущения, возникающие у лицезреющих эти строки: недоумение (примерно 1 минуту), банальный страх (~2 минуты), лихорадочный поток мыслей (что это? что делать? — в среднем 5-10 минут), гнев (что за х…?) и снова лихорадочный поток мыслей и действий (где же эта гребаная дискета с Web’ом?), вот примерно те пограничные эмоциональные ощущения, которые чувствовали владельцы зараженных машин.

Если вы еще не догадались, то речь идет о вирусе, который большинство помнят как — OneHalf, хотя он также известен и под другими именами — Slovak Bomber, Explosion-II, Freelove.

Впервые вирус был обнаружен в мае 1994 года в США и Европе, но было уже поздно и вирус уже широко распространился по всему миру. Распространялся OneHalf в основном через съемные носители (тогда это были в основном дискеты). Он является чрезвычайно примечательным по своим свойствам даже сейчас, а в то время это было новое слово в ремесле вирмастеров, если можно так выразиться конечно.

Во-первых, OneHalf — полиморф (не первый и далеко последний, но современные вирусы без полиморфизма просто не выживают, для несведущих полиморфным считается такой вирус, каждая новая копия которого может ни в одном байте не совпадать с предыдущей), во-вторых, вирус был файлово-загрузочным (заражал MBR и boot-сектора дискет, а также COM и EXE файлы), в-третьих, тело вируса было зашифровано, в-четвертых, до создания нормальных средств противодействия, OneHalf гарантировано разрушал данные, ну и пожалуй последнее, стелс-функциональность, встроенная в вирус, позволяла оставаться ему невидимым для системы.

А теперь разберем некоторые детали

Механизм заражения файлов

Эпидемия передавалась дискетно-ручным способом. При обращении зараженной системы к дискете для записи OneHalf перехватывал его и проверял размер, имя (не трогал файлы с именами SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV, CHKDSK, AIDS, ADINF, WEB) и зараженность файла. Если размер, имя не соответствовали алгоритму или файл уже был заражен, то заражение не производилось. Если же файл был чист и соответствовал требованиям вируса, то производилось его заражение.

Механизм заражения компьютера

При пользовании зараженной дискетой (загрузки с нее или запуске зараженного файла), вирус при помощи собственного обработчика прерывания Int12h оценивал размеры свободной оперативной памяти и наличие в ней своей копии — прерывание Int21h.

Если вируса в памяти не было и ее больше 4 [кБ], он искал признаки заражения MBR, если таковых не находилось он заражал MBR. Для этого он на место оригинального MBR записывал свой обработчик загрузки тела вируса, затем записывал 7 секторов кода своего тела в 7 секторов от конца нулевой дорожки диска в скрытых секторах, а после всего этого оригинальный MBR в восьмой сектор от конца нулевой дорожки диска. После записи своего тела на диск или при обнаружении уже зараженного MBR, OneHalf проверял память и при отсутствии своей копии переписывал ее с диска в память.

После того, как вирус оказывался загружен в оперативу, руль системы был у него в руках. Дальше злодей считывал из MBR нижнюю границу зашифрованной дорожки и если она не дошла до 7 дорожки от начала, то вирь шифровал две дорожки вверх от нижней границы уже зашифрованных, при этом использовался случайный ключ, содержащийся в MBR. Если шифрование прошло удачно, в MBR записывалось новое значение нижней границы зашифрованных дорожек. (для работы он использовал свои обработчики прерываний Int01h, Int12h, Int1Ch, Int13h, Int21h, Int24h). Если же нижняя граница дошла до 7 дорожки, шифрование не производилось во избежание повреждения системных областей диска.

Dis is one half.
Press any key to continue…

При работе пользователь ничего не замечал, поскольку OneHalf, сидящий в памяти перехватывал обращения к уже зашифрованным дорожкам и расшифровывал их на лету без всяких тормозов, скрывал уменьшение размера оперативки и приращение длины зараженных файлов для всех программ кроме CHKDSK и Norton Commander, но это ничего не давало, поскольку при попытке трассировки вируса в памяти он 100%-но вешал систему циклом без выхода с помощью своего обработчика прерываний Int01h.

В зависимости от модификации OneHalf варьировались размеры приращений зараженных файлов, 3544, 3577 или 3518 байта, — в связи с чем в антивирусных базах версии так и назывались OneHalf.3544, OneHalf.3577 и OneHalf.3518.

Dis is one half.
Press any key to continue …

Dis is TWO HALF.
Fucks any key to Goping…

HET — фu3uke u ucTopuu B pacnucaHuu uy7!

Disk is Tpu half.
(Bepx, Hu3 u Pe6po)

Dis is 3 HALF !.
Fucks any key to LoHing…

A cup of Beer ?.
See you later…

Борьба

Почему произошла эта эпидемия? Мне думается, что дело было так. Вирус появился на свет где-то зимой 1994 года, ближе к весне произошло массовое распространение, продолжавшееся еще несколько месяцев незаметно для пользователей и разработчиков антивирусов. Первые известия о роковых строках на экранах дисплеев появились только в мае-июне, так как для полной шифровки винчестера емкостью 0.5 [ГБ], необходимо было перезагрузить компьютер около 500 раз, что при нормальной эксплуатации ПК занимало несколько месяцев. Поэтому OneHalf и был упущен, а эпидемия разошлась, чуть не став пандемией.

Что немаловажно, так это то, что для избавления от вируса недостаточно было простой перезаписи MBR, которая привела бы только к утере ключа к шифрованным данным, а вследствие этого и к потере данных. Для гарантированного избавления необходима была тонкая работа антивирусных утилит, как по обезвреживанию, так и по расшифровке данных.

OneHalf

Распространение вируса и его модификаций происходило еще несколько лет, но не такими взрывными темпами, даже сейчас он еще бродит по старым дискетам и раритетным компам.

Недалече имел разговор по телефону с отцом, примерного такого смысла. Отец решил поменять висту на ХП на домашнем компе. Если не ошибусь, то брендовый асер. Вызвал по телефону человека из какой-то комп фирмы (я в другом городе), мастер долго мучился, что-то тестил, ставил, ХП не ставилась. В итоге подытожил - в нулевом секторе вирус, поставить не получится. Вылечить я его не смогу, только в офисе, и стоить будет тыща рублей. Как понимаю бред? Или отец что-то не так понял и в этом есть какое-то рациональное зерно? Разъясните плиз, может кто с этим сталкивался, ну и что делать?

P.S. Чуть запутался, исправил.

Конфигурация компьютера
Процессор: 11th Gen Intel(R) Core(TM) i7-1165G7
Память: 16 гб
Видеокарта: Intel(R) Iris(R) Xe Graphics
Звук: Realtek High Definition Audio(SST)
Монитор: 15,6"
Ноутбук/нетбук: LENOVO ThinkBook 15 G2 ITL
ОС: Windows 11 - 64 Pro

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

-------
Просьба обращаться на "ты".
Посты на абракадарском языке в игноре .

У меня айсер!! Тоже стояла виста поставил ХР. Тоже был геморрой пока не додумался загрузится с акроникса. Там жесткий разбит на 3 диска и один скрытый и на нем стоит система восстановления и она не давала ставить, фарматнул ево и стала как родная

ИО Капитана Очевидности

В*голове у него вирус - гнать такого "мастера" пинками, покуда MBR со всей таблицей размещения разделов не снёс.

Проблема - во включенном (у асеров - включенном всегда) режиме ACHI у SATA-контроллера, для которого стандартная XP не имеет драйверов.
Решение очень простое - скачивается программа nLite и соответствующие драйвера. На жёсткий диск копируется содержимое установочного диска, указанной программой в дистрибутив добавляются драйвера и создаётся образ нового установочного диска. Потом этот образ записывается на диск (лучше на CD-RW - а то вдруг драйвера не те окажутся) и начинается установка.

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.

Недалече имел разговор по телефону с отцом, примерного такого смысла. Отец решил поменять висту на ХП на домашнем компе. Если не ошибусь, то брендовый асер. Вызвал по телефону человека из какой-то комп фирмы (я в другом городе), мастер долго мучился, что-то тестил, ставил, ХП не ставилась. В итоге подытожил - в нулевом секторе вирус, поставить не получится. Вылечить я его не смогу, только в офисе, и стоить будет тыща рублей. Как понимаю бред? Или отец что-то не так понял и в этом есть какое-то рациональное зерно? Разъясните плиз, может кто с этим сталкивался, ну и что делать?

P.S. Чуть запутался, исправил.

Конфигурация компьютера
Процессор: 11th Gen Intel(R) Core(TM) i7-1165G7
Память: 16 гб
Видеокарта: Intel(R) Iris(R) Xe Graphics
Звук: Realtek High Definition Audio(SST)
Монитор: 15,6"
Ноутбук/нетбук: LENOVO ThinkBook 15 G2 ITL
ОС: Windows 11 - 64 Pro

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

-------
Просьба обращаться на "ты".
Посты на абракадарском языке в игноре .

У меня айсер!! Тоже стояла виста поставил ХР. Тоже был геморрой пока не додумался загрузится с акроникса. Там жесткий разбит на 3 диска и один скрытый и на нем стоит система восстановления и она не давала ставить, фарматнул ево и стала как родная

ИО Капитана Очевидности

В*голове у него вирус - гнать такого "мастера" пинками, покуда MBR со всей таблицей размещения разделов не снёс.

Проблема - во включенном (у асеров - включенном всегда) режиме ACHI у SATA-контроллера, для которого стандартная XP не имеет драйверов.
Решение очень простое - скачивается программа nLite и соответствующие драйвера. На жёсткий диск копируется содержимое установочного диска, указанной программой в дистрибутив добавляются драйвера и создаётся образ нового установочного диска. Потом этот образ записывается на диск (лучше на CD-RW - а то вдруг драйвера не те окажутся) и начинается установка.

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.

Недалече имел разговор по телефону с отцом, примерного такого смысла. Отец решил поменять висту на ХП на домашнем компе. Если не ошибусь, то брендовый асер. Вызвал по телефону человека из какой-то комп фирмы (я в другом городе), мастер долго мучился, что-то тестил, ставил, ХП не ставилась. В итоге подытожил - в нулевом секторе вирус, поставить не получится. Вылечить я его не смогу, только в офисе, и стоить будет тыща рублей. Как понимаю бред? Или отец что-то не так понял и в этом есть какое-то рациональное зерно? Разъясните плиз, может кто с этим сталкивался, ну и что делать?

P.S. Чуть запутался, исправил.

Конфигурация компьютера
Процессор: 11th Gen Intel(R) Core(TM) i7-1165G7
Память: 16 гб
Видеокарта: Intel(R) Iris(R) Xe Graphics
Звук: Realtek High Definition Audio(SST)
Монитор: 15,6"
Ноутбук/нетбук: LENOVO ThinkBook 15 G2 ITL
ОС: Windows 11 - 64 Pro

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

-------
Просьба обращаться на "ты".
Посты на абракадарском языке в игноре .

У меня айсер!! Тоже стояла виста поставил ХР. Тоже был геморрой пока не додумался загрузится с акроникса. Там жесткий разбит на 3 диска и один скрытый и на нем стоит система восстановления и она не давала ставить, фарматнул ево и стала как родная

ИО Капитана Очевидности

В*голове у него вирус - гнать такого "мастера" пинками, покуда MBR со всей таблицей размещения разделов не снёс.

Проблема - во включенном (у асеров - включенном всегда) режиме ACHI у SATA-контроллера, для которого стандартная XP не имеет драйверов.
Решение очень простое - скачивается программа nLite и соответствующие драйвера. На жёсткий диск копируется содержимое установочного диска, указанной программой в дистрибутив добавляются драйвера и создаётся образ нового установочного диска. Потом этот образ записывается на диск (лучше на CD-RW - а то вдруг драйвера не те окажутся) и начинается установка.

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.




Всякому, кто мало-мальски знаком с этими творениями рук человеческих, трудно отделаться от мысли, что компьютерные вирусы — это не просто небольшие программы, а самые настоящие живые существа, которые ничем не отличаются от своих более материальных собратьев, ведущих непрерывную войну с человечеством. Да и как можно думать иначе, если эти программы способны самостоятельно перемещаться, маскироваться, размножаться и, наконец, наносить сокрушительные удары, невзирая на государственные границы и географические расстояния, оставаясь при этом невидимыми для человека.

SCA: первый вирус для Commodore Amiga

Проявлялся вирус в виде следующей надписи на экране:

Something wonderful has happened
Your AMIGA is alive.
and, even better…
Some of your disks are infected by a VIRUS.
Another masterpiece of The Mega-Mighty SCA !!

Демонстрация работы вируса

Несмотря на свою кажущуюся безобидность, вирус мог нанести реальный вред программам, дискеты с которыми имели собственные загрузчики. Переписывая себя на новый диск, вирус нарушал код boot-loader’а, вследствие чего программа переставала запускаться.

Для борьбы с вирусом SCA существовала и специальная программа, созданная программистом под ником Saturnus The Invincible. Ниже вы можете ознакомиться с демонстрацией её интерфейса.


Видео не для слабонервных: Master Virus Killer расправляется с SCA

ZX Spectrum



Шуточное изображение вируса на ZX Spectrum

Посмотреть на пример DZU можно здесь (генератор демок с крестом, жестокий к диску). Рекомендуем не использовать для просмотра демо реальные дискеты и машины, если у вас таковые все еще имеются, а ограничиться эмуляцией в Unreal Speccy.


Чтобы не раздувать статью излишним количеством информации, дадим пару интересных ссылок для самых заинтересованных:

Первые вирусы для Atari ST


В отличие от Signum, его более поздний собрат, Evilnick, или просто Evil оказался чуть более живуч. Сейчас уже нельзя точно сказать, кто был его автором, но все следы ведут в Великобританию, где его обнаружил некто Jeremy Hughes. Наибольшее распространение вирус получил в Скандинавии. Примечательной особенностью вируса был его способ маскировки: Evil мимикрировал под системный диск и оставался незамеченным даже для популярного Ultimate Virus Killer. Инкубационный период Evilnick длился достаточно долго: вирус никак не выдавал себя вплоть до заражения 100 дискет.

Подводя итог, хочется отметить одну общую тенденцию, сохранявшуюся в разрозненном сообществе первых вирус-мейкеров. Многие из них склонны были полагать, что их программы подобны живым существам. Они способны размножаться, питаться мощностями компьютера, взаимодействовать с пользователем, хитрить, прятаться и погибать. Спустя десятки лет после написания этих вирусов трудно судить о настоящих мотивах их создателей. Кто-то хотел насолить коллегам, кто-то — остроумно пошутить. Для кого-то сам факт написания вируса был сродни интеллектуальному спорту.

Технологии не стоят на месте: совершенствуются методы защиты, усложняются операционные системы, увеличивается мощность железа, смещаются направления атак. На правах облачного провайдера сделаем небольшую ремарку на этот счет.

Как известно, порядка 80% угроз прекрасно чувствуют себя в виртуальных средах, ведь такая среда практически не создает помех для распространения вредоносного кода, появления вирусных эпидемий и любых других атак. Но антивирусное ПО умнеет вслед за вирусами, а иногда опережает их на пару шагов.

Читайте также: