Virus.Win32.Haharin

Technical Details

Win32-вирус, работоспособен только на ОС семейства WinNT.

Вирус выполняет свой код при условии запуска зараженного файла с правами администратора, которые необходимы ему для выполнения своего кода в Ring0. Код вируса нулевого кольца выполняет перехват int2Eh.NtCreateFile. Инфицирование файлов происходит только при обращении к этому сервису.

Заражает только PE EXE файлы.

Не заражает файлы, если их полное имя содержит подстроку:

system32

После завершения жертвы вирус остается в памяти до окончания работы системы.

Вирус содержит ошибки и никак не проявляет своего присутствия в системе.