Virus.Win32.Hala.a

Detection added	13 Jun 2007 07:56 GMT
Description added	04 Jun 2008
Comportement	Virus

Détails Techniques

Ce programme malicieux infecte les fichiers exécutables sur l'ordinateur victime. Il s'agit d'un fichier DLL de 20 480 octets. Il n'est pas compacté et est écrit en Visual C++.

Installation

Une fois exécuté, le virus crée les fichiers suivants dans le registre système de Windows :

%System%\d3d8xof.dll –3072 bytes%System%\d9dx.dll –20480 bytes

Le virus crée ensuite les clés de base de registre suivante :

[HKCR\Software\Google]

[HKCR\Software\Intel]

Le virus crée un identifiant unique pour indiquer sa présence dans le système :

__DL_CORE5_MUTEX__

Action destructrice

Une fois exécuté, le virus écrit son code dans la barre d'adresse de "explorer.exe". Le processus infecté cherche alors tous les fichiers à extension .exe et annexe le code du virus à tous les fichiers trouvés.

Les dossiers indiqués ci-dessous ne sont pas scannés à la recherche de fichiers :

QQ

Windows

WINNT

Local Settings\Temp

Les fichiers ci-dessous ne seront pas infectés :

wooolcfg.exe

woool.exe

ztconfig.exe

patchupdate.exe

trojankiller.exe

xy2player.exe

flyff.exe

xy2.exe

au_unins_web.exe

cabal.exe

cabalmain9x.exe

cabalmain.exe

meteor.exe

patcher.exe

mjonline.exe

config.exe

zuonline.exe

userpic.exe

main.exe

dk2.exe

autoupdate.exe

dbfsupdate.exe

asktao.exe

sealspeed.exe

xlqy2.exe

game.exe

wb-service.exe

nbt-dragonraja2006.exe

dragonraja.exe

mhclient-connect.exe

hs.exe

mts.exe

gc.exe

zfs.exe

neuz.exe

maplestory.exe

nsstarter.exe

nmcosrv.exe

ca.exe

nmservice.exe

kartrider.exe

audition.exe

zhengtu.exe

Le virus est capable de télécharger d'autres programmes malicieux sur la machine victime. Ces programmes tiers volent des mots de passe de jeux en ligne. Pour ce faire, le virus envoie une requête contenant les paramètres de la machine victime aux liens suivants (à l'heure où nous écrivons ces lignes, ces liens sont désactivés) :

http://message.microsofte.in/counter.asp?action*****

http://imrw0rldwide.com/DL/counter.asp?action*****

Conseils pour la suppression

Si votre ordinateur n’était pas protégé par un antivirus et est infecté par ce code malicieux, alors il est indispensable de prendre les mesures suivantes :

Utilisez le Gestionnaire des Tâches pour stopper le processus système de "explorer.exe".
Supprimez les clés de registre suivante :
[HKCR\Software\Google]
[HKCR\Software\Intel]
Supprimez les fichiers suivants :
%System%\d3d8xof.dll
%System%\d9dx.dll
Mettez à jour vos bases de signatures antivirus et effectuez une analyse complète de l’ordinateur

Informations technologies

Sunday, May 8, 2011