Найти и обезвредить OneHalf сложно, но можно

Сегодня, без сомнения, все слышали о компьютерных вирусах. Эти маленькие программы без спроса внедряются в другие программы и системные области дисков, заражая все новые и новые компьютеры. Появились макрокомандные вирусы, заражающие даже обычные файлы документов текстового процессора Word for Windows и электронной таблицы Excel for Windows. Возможно, что и вы сами пострадали от вирусов, уничтоживших или разрушивших файлы документов и данных в вашем компьютере.

На настоящий момент в мире насчитывается около 10 000 различных вирусов. Однако большинство компьютерных вирусов не находит широкого распространения. Главную роль в этом играют антивирусные программы, способные обнаружить и обезвредить вирусы. Благодаря современным методам поиска вирусов у простых вирусов практически нет ни одного шанса «завоевать мир».

Чтобы скрыть свое присутствие от антивирусных программ, ряд вирусов использует специальные методы маскировки. Самый интересный из них – полиморфизм. Полиморфные вирусы каждый раз при заражении очередной программы полностью изменяют свой код. Два экземпляра такого вируса совершенно непохожи друг на друга и могут иметь абсолютно разную длину.

Чтобы достичь такого результата, полиморфные вирусы каждый раз при заражении очередного файла или системной области диска зашифровывают себя, используя различные ключи и алгоритмы шифрования. Тем не менее вирус остается тем же самым и его можно идентифицировать.

В некоторых случаях обнаружить и удалить полиморфные вирусы очень сложно. Далеко не все антивирусные программы на это способны. Так, например, программа Microsoft Anti-Virus, поставляемая вместе с операционной системой MS-DOS, позволяет обнаружить только самые простые разновидности полиморфных вирусов. Пользователи, применяющие для защиты своих компьютеров исключительно такие программы, рискуют, что в их компьютеры проникнут полиморфные вирусы, которые останутся незамеченными.

Некоторое время мы принимали участие в проекте антивирусной скорой помощи и выезжали в различные фирмы для проведения работ по антивирусной профилактике компьютеров. Подводя итоги проделанной работы, мы можем сказать, что наиболее часто встречаются именно сложные полиморфные вирусы, которые стараются как можно тщательнее скрыть свое присутствие в компьютере.

Лидирующее положение среди таких вирусов занимает вирус OneHalf – «Половина». Проникая в компьютер, вирус заражает системные области диска и некоторые программные файлы.

Во время каждого включения компьютера вирус постепенно шифрует информацию на жестком диске. Когда вирус зашифрует половину диска, он выводит на экран надпись: Dis is one half. Press any key to continue...

После этого вирус ждет, когда пользователь нажмет на какую-либо клавишу, и продолжает свою работу. Для некоторых версий вируса надпись может несколько отличаться от приведенной.

Когда вирус OneHalf находится в памяти, он контролирует все обращения к зашифрованным областям диска и по мере надобности их расшифровывает. Поэтому все программное обеспечение компьютера работает нормально.

Если вирус OneHalf просто удалить из компьютера, то станет невозможно правильно прочитать информацию, записанную в зашифрованных областях диска.

Широкое распространение вируса OneHalf связано в первую очередь с тем, что этот вирус применяет сложные методы маскировки. Многие пользователи, которые ограничиваются простыми антивирусными средствами, оставляют свои компьютеры абсолютно беззащитными перед OneHalf (и многими другими полиморфными вирусами). Такие антивирусные программы просто «не заметят» поселившийся в них вирус.

Чтобы не допустить заражения компьютера сложными полиморфными вирусами, следует проверять его с помощью современных антивирусных средств, в которых реализованы специальные методы эвристического анализа. Эвристический анализ легко выявляет даже те вирусы, которые пользуются для своей маскировки алгоритмами шифрования и полиморфными механизмами.

Некоторые антивирусные программы не только обнаруживают вирус OneHalf, но и могут аккуратно удалить вирус, восстановив зашифрованные данные. Операция расшифровки иногда занимает значительное время, особенно если вирус уже успел зашифровать большую часть диска.

Сегодня насчитывается несколько разновидностей вируса OneHalf. В любое время могут появиться новые его модификации, в которых используются измененные алгоритмы шифрования. Старая, не рассчитанная на это, версия антивирусной программы не сможет корректно удалить такой вирус. Поэтому для проверки, а особенно для удаления OneHalf следует использовать только самые последние версии антивирусных программ, строго руководствуясь их документацией.