- One Half là một virus l−ỡng tính (vừa là B-virus vừa là F-virus). Kích th−ớc của virus One Half là 3544 byte.
1. B-virus One Half.
- B-virus One Half l−u trú trên vùng các Sector dấu mặt của đĩa cứng (Side 0, Cylinder 0, 7 sector cuối).
- Khi máy tính khởi động bằng đĩa cứng đã bị nhiễm virus One Half, phần mã của nó sẽ đ−ợc tải vào 9F00h:0000h (vùng bộ nhớ cơ sở cao nhất), không cho phép DOS quản lý vùng nhớ này bằng cách trừ giá trị biến l−u trữ tổng số vùng nhớ cơ sở tính theo KB (tại 0:413h) đi 4 (KB). Sau khi tải xong, phần mã này sẽ đ−ợc trao quyền điều khiển.
- Phần mã virus thực hiện hai công việc chính sau đây:
+ Mã hoá 2 Cylinder trên đĩa cứng. Giá trị của Cylinder cuối cùng đ−ợc mã hoá sẽ đ−ợc ghi vào word 29h trong Master Boot và giá trị này là căn cứ cho lần mã tiếp theo. Phép toán mã hoá đ−ợc sử dụng là phép toán XOR, toán hạng mã hoá là giá trị của biến đếm thời gian tại thời điểm lây nhiễm.
+ Chiếm hai ngắt 21h và 13h. Việc can thiệp tới các ngắt này giúp virus One Half lây nhiễm trên các file khả thi khi sử dụng các chức năng của ngắt 21h, cũng nh− việc chiếm ngắt 13h giúp hệ thống vẫn làm việc
bình th−ờng trên các vùng đã bị mã hoá, trong tr−ờng hợp trên vùng các sector dấu mặt, việc chi phối ngắt 13h còn ngụy trang chống lại khả năng phát hiện sự có mặt của B-virus One Half.
2. F-virus One Half.
Đối với virus One Half, các file khả thi chỉ là đối t−ợng để virus lây lan. Khi virus nhiễm vào file, toàn bộ phần mã của virus sau khi đã đ−ợc mã hoá (bằng phép toán XOR, giá trị của toán hạng mã hoá là giá trị của biến đếm thời gian tại thời điểm lây nhiễm) đ−ợc thêm vào cuối file. Một số đoạn mã nhỏ đ−ợc thay thế trong file đối t−ợng để làm nhiệm vụ giải mã phần mã của virus One Half.
Khi thực hiện file khả thi (đã bị nhiễm) bằng chức năng 4Bh của DOS, phần mã của virus One Half sẽ đ−ợc giải mã, sau đó sẽ đ−ợc trao quyền điều khiển. Phần mã này sẽ kiểm tra Partition trên đĩa cứng xem đã bị nhiễm ch−a, nếu ch−a bị lây nhiễm sẽ tiến hành lây nhiễm trên đĩa cứng, sau đó sẽ trả lại cho file đối t−ợng các đoạn mã đã bị virus One Half thay thế và trả lại quyền điều khiển cho file đối t−ợng một cách bình th−ờng.