Virus.Win32. Hala.a

Вредоносная программа, заражающая исполняемые файлы на компьютере пользователя. Программа является библиотекой Windows (PE DLL-файл). Размер оригинального вредоносного файла – 20480 байт. Ничем не упакована. Написана на Visual C++.

Инсталляция

После запуска вирус создает в системном каталоге Windows следующие библиотеки:

%System%\d3d8xof.dll – имеет размер 3072 байта
%System%\d9dx.dll – имеет размер 20480 байт

Также вирус создает в системном реестре следующие ключи:

[HKCR\Software\Google]
[HKCR\Software\Intel]

Для определения своего присутствия в системе вирус создает уникальный идентификатор:

__DL_CORE5_MUTEX__

Деструктивная активность

После запуска вирус производит запись своего кода в адресное пространство системного процесса "explorer.exe". После чего инфицированный процесс ищет все файлы с расширением .exe и дописывает в конец найденных файлов код вируса.

Поиск не производится в папках со следующими именами:

QQ
Windows
WINNT
Local Settings\Temp

Также не инфицируются следующие файлы:

wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe

Также вирус имеет возможность загружать другие вредоносные программы на компьютер пользователя, предназначенные для кражи паролей к онлайн-играм. Для этого отсылает запрос с указанием параметров зараженной системы (на момент создания описания данные ссылки не работали):

http://message.microsofte.in/counter.asp?action*****
http://imrw0rldwide.com/DL/counter.asp?action*****