Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Virus.Win32.Hala.a

Szkodnik ten infekuje pliki wykonywalne na zaatakowanej maszynie. Ma postać pliku DLL o rozmiarze 20480 bajtów. Szkodnik nie został spakowany w żaden sposób. Powstał w języku programowania Visual C++.

Instalacja

Po uruchomieniu wirus tworzy następujące pliki w folderze systemu Windows:

%System%d3d8xof.dll –3072 bajtów 
%System%d9dx.dll –20480 bajtów

Następnie szkodnik tworzy poniższe klucze rejestru:

[HKCRSoftwareGoogle]
[HKCRSoftwareIntel]

Wirus tworzy również następujący unikatowy identyfikator w celu oflagowania swojej obecności w systemie:

__DL_CORE5_MUTEX__

Funkcje szkodnika

Po uruchomieniu wirus zapisuje swój kod do pola adresu "explorer.exe". Zainfekowany proces szuka następnie plików o rozszerzeniu .exe i dołącza kod wirusa do wszystkich znalezionych plików.

Foldery o nazwach wymienionych poniżej nie będą skanowane w celu wykrycia plików:

QQ
Windows
WINNT
Local SettingsTemp

Pliki wymienione poniżej nie zostaną zainfekowane:

wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe

Wirus potrafi również pobierać inne szkodliwe programy na zainfekowaną maszynę; celem tych programów jest kradzież haseł do gier online. W tym celu wirus wysyła żądanie zawierające parametry komputera ofiary na następujące odsyłacze (w momencie tworzenia tego opisu odsyłacze te nie były aktywne):

http://message.microsofte.in/counter.asp?action*****
http://imrw0rldwide.com/DL/counter.asp?action*****

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesu "explorer.exe".
  2. Usuń następujące klucze rejestru systemowego:

    [HKCRSoftwareGoogle]
    [HKCRSoftwareIntel]

  3. Usuń następujące pliki:
    %System%d3d8xof.dll
    %System%d9dx.dll
    
  4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).