HKTL_CHANGEKEY

Wird möglicherweise von anderer Malware eingeschleust. Wird möglicherweise manuell von einem Benutzer installiert.

Übertragungsdetails

Wird möglicherweise von anderer Malware eingeschleust.

Wird möglicherweise manuell von einem Benutzer installiert.

Installation

Schleust die folgenden Dateien ein:

• %All Users Profile%\Application Data\Office Genuine Advantage\data\data.dat
• %All Users Profile%\Application Data\Windows Genuine Advantage\data\data.dat
• %All Users Profile%\Application Data\Microsoft\Crypto\RSA\MachineKeys\{random}

Erstellt die folgenden Ordner:

• %All Users Profile%\Application Data\Office Genuine Advantage
• %All Users Profile%\Application Data\Office Genuine Advantage\data
• %All Users Profile%\Application Data\Windows Genuine Advantage
• %All Users Profile%\Application Data\Windows Genuine Advantage\data
• %All Users Profile%\Application Data\Microsoft\Crypto
• %All Users Profile%\Application Data\Microsoft\Crypto\RSA
• %All Users Profile%\Application Data\Microsoft\Crypto\RSA\S-1-5-21-{random digits}

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\WinRAR SFX

HKEY_CURRENT_USER\Software\Microsoft\
Windows Genuine Advantage

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\WgaLogon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\WgaLogon\Settings

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\WinRAR SFX
{System Root Letter}%% = "%System Root%"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Genuine Advantage
id = "{2CFF104F-1FF3-4D65-9201-B24F86E23A37}"

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
ProductId = "{new product ID}"

(Note: The default value data of the said registry entry is {original product ID}.)