A Hala.A vírus EXE fájlok megfertőzésével és kártékony programok letöltésével foglalatoskodik.

A Visual C++-ban készült Hala.A vírus legfontosabb feladata, hogy a kiszemelt számítógépeken a lehető legtöbb, .exe kiterjesztéssel rendelkező állományt fertőzze meg.  Ezt követően előre meghatározott weboldalakról kártékony programokat kezd el letölteni. Ezek között megtalálhatók olyanok is, amelyek online játékokhoz tartozó jelszavak megszerzésére specializálódtak.

A vírus a fertőzött PC-k Windows rendszerkönyvtárába kettő .dll kiterjesztésű fájlt hoz létre. Ezt követően módosítja a regisztrációs adatbázist, és megfertőzi az explorer.exe folyamatot, amely mögé elrejtőzik. Így a Windows Feladatkezelőjében láthatatlanná válik.

EXE fájlokat fertőz a Hala vírus

Amikor a Hala.A vírus elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %System%\d3d8xof.dll
    %System%\d9dx.dll
  2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
    [HKCR\Software\Google]
    [HKCR\Software\Intel]
  3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.
  4. Megfertőzi az explorer.exe folyamatot.
  5. .exe kiterjesztésű fájlokat keres, amelyeket saját kódjával megfertőz. Csak a következő könyvtárakban található futtatható állományokat hagyja figyelmen kívül:
    QQ
    Windows
    WINNT
    Local Settings\Temp
  6. Interneten keresztül további kártékony kódokat tölt le.