A Hala.A vírus EXE fájlok megfertőzésével és kártékony programok letöltésével foglalatoskodik.
A Visual C++-ban készült Hala.A vírus legfontosabb feladata, hogy a kiszemelt számítógépeken a lehető legtöbb, .exe kiterjesztéssel rendelkező állományt fertőzze meg. Ezt követően előre meghatározott weboldalakról kártékony programokat kezd el letölteni. Ezek között megtalálhatók olyanok is, amelyek online játékokhoz tartozó jelszavak megszerzésére specializálódtak.
A vírus a fertőzött PC-k Windows rendszerkönyvtárába kettő .dll kiterjesztésű fájlt hoz létre. Ezt követően módosítja a regisztrációs adatbázist, és megfertőzi az explorer.exe folyamatot, amely mögé elrejtőzik. Így a Windows Feladatkezelőjében láthatatlanná válik.
Amikor a Hala.A vírus elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%\d3d8xof.dll
%System%\d9dx.dll - A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
[HKCR\Software\Google]
[HKCR\Software\Intel] - Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.
- Megfertőzi az explorer.exe folyamatot.
- .exe kiterjesztésű fájlokat keres, amelyeket saját kódjával megfertőz. Csak a következő könyvtárakban található futtatható állományokat hagyja figyelmen kívül:
QQ
Windows
WINNT
Local Settings\Temp - Interneten keresztül további kártékony kódokat tölt le.