Virus.Win32.Hala.a

Szkodnik ten infekuje pliki wykonywalne na zaatakowanej maszynie. Ma posta膰 pliku DLL o rozmiarze 20480 bajt贸w. Szkodnik nie zosta艂 spakowany w 偶aden spos贸b. Powsta艂 w j臋zyku programowania Visual C++.

Instalacja

Po uruchomieniu wirus tworzy nast臋puj膮ce pliki w folderze systemu Windows:

%System%d3d8xof.dll –3072 bajt贸w 
%System%d9dx.dll –20480 bajt贸w

Nast臋pnie szkodnik tworzy poni偶sze klucze rejestru:

[HKCRSoftwareGoogle]
[HKCRSoftwareIntel]

Wirus tworzy r贸wnie偶 nast臋puj膮cy unikatowy identyfikator w celu oflagowania swojej obecno艣ci w systemie:

__DL_CORE5_MUTEX__

Funkcje szkodnika

Po uruchomieniu wirus zapisuje sw贸j kod do pola adresu "explorer.exe". Zainfekowany proces szuka nast臋pnie plik贸w o rozszerzeniu .exe i do艂膮cza kod wirusa do wszystkich znalezionych plik贸w.

Foldery o nazwach wymienionych poni偶ej nie b臋d膮 skanowane w celu wykrycia plik贸w:

QQ
Windows
WINNT
Local SettingsTemp

Pliki wymienione poni偶ej nie zostan膮 zainfekowane:

wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe

Wirus potrafi r贸wnie偶 pobiera膰 inne szkodliwe programy na zainfekowan膮 maszyn臋; celem tych program贸w jest kradzie偶 hase艂 do gier online. W tym celu wirus wysy艂a 偶膮danie zawieraj膮ce parametry komputera ofiary na nast臋puj膮ce odsy艂acze (w momencie tworzenia tego opisu odsy艂acze te nie by艂y aktywne):

http://message.microsofte.in/counter.asp?action*****
http://imrw0rldwide.com/DL/counter.asp?action*****

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu "explorer.exe".
  2. Usu艅 nast臋puj膮ce klucze rejestru systemowego:

    [HKCRSoftwareGoogle]
    [HKCRSoftwareIntel]

  3. Usu艅 nast臋puj膮ce pliki:
    %System%d3d8xof.dll
    %System%d9dx.dll
    
  4. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).