HKTL_CHANGEKEY

Puede haberlo infiltrado otro malware. Puede haberlo instalado manualmente un usuario.

Detalles de entrada

Puede haberlo infiltrado otro malware.

Puede haberlo instalado manualmente un usuario.

Instalación

Infiltra los archivos siguientes:

• %All Users Profile%\Application Data\Office Genuine Advantage\data\data.dat
• %All Users Profile%\Application Data\Windows Genuine Advantage\data\data.dat
• %All Users Profile%\Application Data\Microsoft\Crypto\RSA\MachineKeys\{random}

Crea las carpetas siguientes:

• %All Users Profile%\Application Data\Office Genuine Advantage
• %All Users Profile%\Application Data\Office Genuine Advantage\data
• %All Users Profile%\Application Data\Windows Genuine Advantage
• %All Users Profile%\Application Data\Windows Genuine Advantage\data
• %All Users Profile%\Application Data\Microsoft\Crypto
• %All Users Profile%\Application Data\Microsoft\Crypto\RSA
• %All Users Profile%\Application Data\Microsoft\Crypto\RSA\S-1-5-21-{random digits}

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\WinRAR SFX

HKEY_CURRENT_USER\Software\Microsoft\
Windows Genuine Advantage

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\WgaLogon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\WgaLogon\Settings

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\WinRAR SFX
{System Root Letter}%% = "%System Root%"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Genuine Advantage
id = "{2CFF104F-1FF3-4D65-9201-B24F86E23A37}"

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
ProductId = "{new product ID}"

(Note: The default value data of the said registry entry is {original product ID}.)