ЗДОРОВЬЕ ВАШЕГО КОМПЬЮТЕРА


OneHalf

Мы уже рассказывали на страницах КИ об этом опасном полиморфном вирусе в сентябре прошлого года. Однако события последних недель показали необходимость повторной публикации материала. Эпидемия вируса OneHalf снова обрушилась на наш город. К сожалению, от этого вируса серьезно пострадали некоторые известные петербургские организации. И причины, которые вызвали тяжелые последствия, зачастую кроются в неквалифицированных действиях людей, взявших на себя смелость лечения зараженных компьютеров. Несмотря на предупреждения, которые были высказаны в предыдущей публикации, наиболее частая ошибка - выключение питания или перезапуск компьютера во время лечения. Отнеситесь с большим вниманием к этой статье. Она поможет Вам при столкновении с вирусом OneHalf.

В дополнение хотим заметить, что вирус OneHalf продолжает привлекать внимание вирусописателей. С момента предыдущей публикации появилась очередная модификация вируса OneHalf.3544. И нет гарантии, что она последняя. Сегодня антивирусной программе Dr. Web известны 7 модификаций вируса OneHalf.3544, а также вирусы OneHalf.3570, OneHalf.3577, OneHalf.3666. И еще считаем нелишним напомнить, что с 1 января 1997 года вступил в действие новый Уголовный кодекс РФ, в котором уделено внимание и вирусописанию, и их распространению. Отныне, это занятие - уголовно-наказуемое дело. По данным из официального источника, в Волгограде задержан один из распространителей вирусов, в числе которых есть и OneHalf.

Первый вирус из семейства OneHalf появился весной 1994. В том же году и случилась первая серьезная эпидемия - ведь вирус не был известен ни одной антивирусной программе, а высокая скорость его распространения обуславливалась не только свойствами самого вируса, но и огромными масштабами привычного для нашей страны способа приобретения программ. Не будет преувеличением сказать, что достаточно оперативная реакция разработчика программы Dr. Web (в то время просто WEB) Игоря Данилова, довольно быстро привела к тому, что начинавшиеся вспышки эпидемии угасали, нанося ущерб далеко не в каждом случае. Сегодня же антивирусная программа, не умеющая обнаруживать и уничтожать какой-либо из вариантов OneHalf, вряд ли может называться надежной.

Однако не так давно к разработчикам антивирусных средств снова стали обращаться пользователи ПК, пострадавшие от этого вируса, причем пострадавшие очень серьезно. При анализе поврежденных дисков стало ясно, что новой разновидности OneHalf не появилось. Во всех случаях действовали хорошо известные разновидности вируса. Но если современные антивирусные программы с ними справляются, то почему происходящее очень похоже на начало нового нашествия?

В журнале Техника-молодежи в 80-ых годах было опубликовано наблюдение времен Великой Отечественной войны. Опытные саперы, разминировавшие по сотне- полторы мин, погибали гораздо чаще, чем молодые новобранцы. Когда этот феномен стали изучать психологи, выяснилось, что после того, как сапер несколько десятков раз подержал в руках мину и остался жив, он просто терял осторожность.

Сравнение, возможно, не совсем корректное, однако, аналогию усмотреть можно. Иначе, чем еще объяснить тот факт, что многие пользователи, зная об этом опасном вирусе, спохватываются только тогда, когда на мониторе появляется трагическая надпись:

Dis is one half.
Press any key to continue ...

Это говорит о том, что вирус обработал ровно половину жесткого диска и готов взяться за вторую. А когда он закончит, дело может обернуться катастрофой. В некоторых случаях ошибки, допущенные автором OneHalf, могут привести к тому, что окажутся испорченными системные области диска. Считайте, что Вам крупно повезло, если серьезная и кропотливая работа специалистов по криптографии поможет спасти хоть небольшую часть данных. В большинстве случаев это сделать будет невозможно...

Ряд простых, но эффективных мер может помочь избежать подобных неприятностей.


Что же из себя представляет этот вирус?
Прежде всего, необходимо отметить, что OneHalf относится к полиморфным вирусам, каждая новая копия которых может ни в одном байте не совпадать с предыдущей. Кроме того, этот вирус заражает как главную загрузочную запись жесткого диска (MBR) или загрузочные сектора дискет, так и исполняемые файлы. Причем файлы заражаются нестандартным способом и оказываются как бы усеянными пятнами вирусного кода.

При каждой загрузке системы с жесткого диска последовательно, начиная с конца, вирусы шифруют содержимое всех секторов двух цилиндров на каждой головке диска. Когда вирусы находятся в памяти, они контролируют чтение данных секторов и расшифровывают их, при записи же снова производят шифрование.

Таким образом, для операционной системы их работа незаметна и данные на диске выглядят (только выглядят!) нормально. Алгоритм шифрования и используемые в нем ключи, уникальные для каждой копии вируса, находятся в теле вируса. Если в результате авторских недоделок вирус зашифрует весь диск и дойдет до самого себя - и алгоритм шифровки, и ключи могут быть безвозвратно потеряны. Разные версии вируса выводят разные тексты:

OneHalf.3544 (3): Dis is TWO HALF.
Fucks any key to Goрing...

OneHalf.3544 (4): HET - фu3uke u
ucToрuu B рacnucaHuu uy7 !

OneHalf.3544 (5): Disk is Tрu half.
(Bepx, Hu3 u Pe6po)

OneHalf.3544 (6): Dis is 3 HALF !.
Fucks any key to LoHing...

В теле вируса также содержатся текстовые строки, зависящие от его версии:

Did you leave the room?, DidYouLeaveTheRoom?, User is loh !, Coрyright(c) by Automatic Integerated Digital Software, 3TO - HE Buрyc, cyneрxakeр Ara6ekoB !, CugopeHKOB - gypak !!!, WEB - LOH !!!, Hail to the GREAT OneHalf's author!

Однако не стоит пытаться найти эти строки в зараженных файлах - они зашифрованы вместе с основным телом вируса. Видимо, для маскировки своего распространения, OneHalf не трогает программы с именами, начинающиеся на SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV, CHKDSK, AIDS, ADINF, WEB - это имена антивирусных программ. Попытка исследовать активный вирус в памяти может привести к перезагрузке компьютера, а это значит - к шифровке еще нескольких секторов.

Из всего вышесказанного ясно, что обнаружение и лечение данного вируса является не такой уж и простой задачей. Но это не значит, что она невыполнима. Можно подсчитать, что для полной шифровки винчестера емкостью 0.5 ГБ, приводящей к утрате данных, необходимо перезагружать компьютер около 500 раз. При нормальной эксплуатации ПК на это может уйти несколько месяцев! За этот период всегда можно найти время для проверки здоровья компьютера одной или несколькими антивирусными программами. Для достижения хороших результатов (а в данном случае хороший результат является единственным приемлемым), в первую очередь, необходимо соблюдать общие правила работы с подобными программами.

К сожалению, сегодняшняя ситуация требует перед применением антивирусных средств убедиться в их собственной чистоте. Широко известны случаи распространения фальшивых или модифицированных программ, которые вместо лечения заражали компьютеры новыми вирусами или содержали в себе троянские компоненты, необратимо портящие данные. Каждая серьезная антивирусная программа имеет средства самопроверки, но их работа может быть блокирована.

Некоторые внешние средства проверки подлинности программы, такие как электронная подпись, обойти гораздо сложнее. Но даже те пользователи, которые умеют с ними обращаться, совершенно необоснованно считают такую проверку необязательной. Поэтому внимательно прочитайте ту часть руководства, в которой описаны подобные процедуры и не пренебрегайте ими. Тот факт, что никто из Ваших знакомых не сталкивался с фальшивыми антивирусами, не может являться страховым полисом! И все-таки самый надежный способ избежать подобных проблем - лицензионно чистые программные продукты, полученные непосредственно у разработчиков или у официальных распространителей.

Если с обнаружением вирусов семейства OneHalf проблем обычно не возникает, то процесс их обезвреживания имеет несколько особенностей.

Не стоит пытаться сразу запускать антивирусы в режиме лечения. Если вирус будет обнаружен, необходимо загрузить операционную систему с заведомо свободной от вирусов дискеты, на которую, кроме системы, должна быть записана копия антивирусной программы. Эта дискета в обязательном порядке должна быть защищена от записи.

Ни в коем случае не пытайтесь проводить лечение от OneHalf, запуская антивирусные программы из-под многозадачных сред, особенно из-под Windows 95. Дело в том, что обычно такие среды не позволяют модифицировать системные области жесткого диска. В лучшем случае, будет выведено окошко с вопросом о том, можно ли разрешить такую модификацию, что обычно еще больше запугивает пользователя, чем сообщение о найденном вирусе.

Если же лечение проводится из-под Windows 95, то такого запроса можно и не увидеть - возможны ситуации, когда действия, необходимые для лечения, будут запрещены без дополнительных запросов и пользователь об этом так и не узнает!

То же касается и ставшей популярной защиты от вирусов на уровне BIOS. Она реагирует на попытки модификации системных областей жесткого диска, и при попытке антивирусной программы вылечить OneHalf (или любой другой вирус, изменяющий MBR или BOOT-сектора, попавший в систему до включения защиты или с разрешения пользователя), будет выведен запрос (___картинка___). Внимательно читайте все подобные сообщения! Для лечения OneHalf необходимо разрешить запись в эти области или на время лечения снять такую защиту.

В последнее время широко распространилось умение лечить загрузочные вирусы путем перезаписи системных областей диска с помощью программ комплекса Norton Utilites или запуском программы FDISK с ключом /MBR.

Действительно, небольшое число простейших вирусов можно удалить именно таким способом, но проводить подобные мероприятия должен только квалифицированный специалист. Только он способен определить, не принесет ли такая терапия больше вреда, чем пользы. Если же речь идет о вирусе OneHalf - перезапись MBR ведет к однозначной потере содержимого Вашего диска! Удаление вируса - только небольшая часть работы, так как после этого необходимо расшифровать зашифрованные сектора, содержимое которых все еще недоступно. А для этого необходимо иметь доступ к данным, расположенным в теле вируса.

Расшифровка диска - процесс, продолжительность которого зависит от количества зашифрованных секторов и может занимать от нескольких секунд при своевременном лечении до нескольких часов при медленном процессоре, большом объеме работы и т. д. Прерывание этого процесса ведет к однозначной утрате содержимого зашифрованных секторов! В программе Dr. Web, например, в это время выводится сообщение (___картинка___) и блокируется реакция на нажатия клавиш, однако, способность системы реагировать на комбинацию <Ctrl+Alt+Del> сохраняется. К тому же невозможно заблокировать нажатие кнопок Reset или Power на системном блоке, или просто сбой в электросети! Перед лечением необходимо убедиться в том, что Вы готовы к подобным сбоям и никуда не торопитесь.

Хотя соблюдение этих несложных ритуалов поможет избежать неприятностей, связанных с утратой важной информации, лучше с такими ситуациями сталкиваться как можно реже. Нет лучшего лекарства, чем здоровый образ жизни Вашего компьютера. Если же невозможно ограничить неконтролируемое поступление программ, возможно, пригодится способ написания простейшего антивируса, приведенный в книге Компьютерные вирусы (С.Л. Островский, Москва, изд. Диалог-Наука, 1996, выпуск 2):

Вы и сами можете написать простую антивирусную программу, реализующую следующий сценарий: запрашивается имя файла и его назначение. Если в качестве назначения вводится слово игра, то файл стирается, и дело с концом :-).

Всеволод Лутовинов, 10.09.96.

Обратиться с вопросами к разработчикам программы Dr. Web Вы можете по телефонам 298-8624, 294-6408; E-mail : sald@market.spb.su . Новые вирусы присылайте специалистам фирмы СалД по E-mail : id@sald.spb.su .


КОМПЬЮТЕР-ИНФОРМ