OneHalf es un virus informático polimórfico basado en DOS (arranque híbrido e infección de archivos) descubierto en octubre de 1994. [1] También se conoce como Slovak Bomber, Freelove o Explosion-II. [2] Infecta el registro de arranque maestro (MBR) del disco duro y cualquier archivo con extensiones .COM, .SCR y .EXE. [3] Sin embargo, no infectará archivos que tengan SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV o CHKDSK en el nombre. [4]
También es conocido como uno de los primeros virus en implementar una técnica de "infección irregular", introducida en Bomber .
OneHalf es conocido por su carga útil peculiar: en cada inicio, cifra dos cilindros no cifrados del disco duro del usuario , pero luego los descifra temporalmente cuando se accede a ellos. Esto asegura que el usuario no se dé cuenta de que su disco duro está siendo encriptado de esta manera y permite que el encriptado continúe. También oculta el MBR real de los programas en la computadora, para dificultar la detección. El cifrado se realiza mediante XOR bit a bit mediante una clave generada aleatoriamente, que se puede descifrar simplemente mediante XOR con el mismo flujo de bits nuevamente. Una vez que el virus haya cifrado la mitad del disco, y/o los días 4, 8, 10, 14, 18, 20, 24, 28 y 30 de cualquier mes y bajo algunas otras condiciones, el virus mostrará el mensaje: [4 ]
La carga útil única de OneHalf hace que la eliminación sea más difícil: simplemente eliminar el virus y limpiar el MBR dejará los datos encriptados, lo que requerirá copias de seguridad para restaurarlos. Como tal, se necesitan herramientas especiales para descifrar el disco duro antes de eliminar el virus. Una de estas herramientas fue desarrollada para SAC (Slovak Antivirus Center) para hacer este trabajo. [2] [7]