PUA.Win32.Radmin.AN

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Prozesse hinzu:

• cmd /c ""%Program Files%\UltraVNC\vnc2.bat
• %System%\tmp\setsec_client.exe
• %System%\tmp\setlang.exe
• %System%\tmp\sdclient.exe
• %System%\tmp\install_rdp.exe
• regedit /s C:\Everser\VpsPro_Pc_Client\tmp.reg

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\triCerat\
Simplify

HKEY_USERS\.DEFAULT\Software\
Microsoft\Terminal Server Client

HKEY_USERS\.DEFAULT\Software\
Microsoft\Terminal Server Client\Default

HKEY_USERS\.DEFAULT\Software\
Microsoft\Terminal Server Client\Default\
Addins

HKEY_USERS\.DEFAULT\Software\
Microsoft\Terminal Server Client\Default\
Addins\SDFXP

HKEY_USERS\S-1-5-19\Software\
Microsoft\Terminal Server Client

HKEY_USERS\S-1-5-19\Software\
Microsoft\Terminal Server Client\Default

HKEY_USERS\S-1-5-19\Software\
Microsoft\Terminal Server Client\Default\
Addins

HKEY_USERS\S-1-5-19\Software\
Microsoft\Terminal Server Client\Default\
Addins\SDFXP

HKEY_USERS\S-1-5-20\Software\
Microsoft\Terminal Server Client

HKEY_USERS\S-1-5-20\Software\
Microsoft\Terminal Server Client\Default

HKEY_USERS\S-1-5-20\Software\
Microsoft\Terminal Server Client\Default\
Addins

HKEY_USERS\S-1-5-20\Software\
Microsoft\Terminal Server Client\Default\
Addins\SDFXP

HKEY_CURRENT_USER\Software\Microsoft\
Terminal Server Client\Default\AddIns\
SDFXP

Ändert die folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\triCerat\
Simplify
GUILanguage = ENG

HKEY_USERS\.DEFAULT\Software\
Microsoft\Terminal Server Client\Default\
Addins\SDFXP
Name = %System%\sdrdp5.dll

HKEY_USERS\.DEFAULT\Software\
Microsoft\Terminal Server Client\Default\
Addins\SDFXP
REMOTECONTROLPERSISTENT = 0

HKEY_USERS\.DEFAULT\Software\
Microsoft\Terminal Server Client\Default\
Addins\SDFXP
PCoIPEnabled = 1

HKEY_USERS\S-1-5-19\Software\
Microsoft\Terminal Server Client\Default\
Addins\SDFXP
Name = %System%\sdrdp5.dll

HKEY_USERS\S-1-5-19\Software\
Microsoft\Terminal Server Client\Default\
Addins\SDFXP
REMOTECONTROLPERSISTENT = 0

HKEY_USERS\S-1-5-19\Software\
Microsoft\Terminal Server Client\Default\
Addins\SDFXP
PCoIPEnabled = 1

HKEY_USERS\S-1-5-20\Software\
Microsoft\Terminal Server Client\Default\
Addins\SDFXP
Name = %System%\sdrdp5.dll

HKEY_USERS\S-1-5-20\Software\
Microsoft\Terminal Server Client\Default\
Addins\SDFXP
REMOTECONTROLPERSISTENT = 0

HKEY_USERS\S-1-5-20\Software\
Microsoft\Terminal Server Client\Default\
Addins\SDFXP
PCoIPEnabled = 1

HKEY_CURRENT_USER\Software\Microsoft\
Terminal Server Client\Default\AddIns\
SDFXP
Name = %System%\sdrdp5.dll

HKEY_CURRENT_USER\Software\Microsoft\
Terminal Server Client\Default\AddIns\
SDFXP
REMOTECONTROLPERSISTENT = 0

HKEY_CURRENT_USER\Software\Microsoft\
Terminal Server Client\Default\AddIns\
SDFXP
PCoIPEnabled = 1