HKTL_RADMIN.GZ

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

他のシステム変更

プログラムは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Terminal Server\WinStations\
RDP-Tcp
SecurityLayer = " {User input}"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Terminal Server\WinStations\
RDP-Tcp
PortNumber = " {User input}"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Terminal Server\WinStations\
RDP-Tcp
Shadow = "{User input}"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Terminal Server\WinStations\
RDP-Tcp
UserAuthentication = "{User input}"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\Terminal Services
Shadow = "{User input}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
dontdisplaylastusername = "{User input}"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Terminal Server
fDenyTSConnections = "{User input}"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Terminal Server
fSingleSessionPerUser = "{User input}"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Terminal Server
HonorLegacySettings = "{User input}"

その他

プログラムは以下を実行します。

• プログラムは実行時、以下のように表示します。
• "View license"[ライセンスの表示]をクリックすると、以下のように表示されます。
• ライセンスの"Decline"「拒否」をクリックするか、キャンセルすると、プログラムは自身を終了します。
• "Enable Remote Desktop"（リモートデスクトップを有効にする）をオンにすると、HKEY_LOCAL_MACHINE¥SYSTEM¥ControlSet001¥Control¥Terminal Server¥WinStations¥RDP-Tcp¥PortNumberがRDPポートの値に設定されます。
• "Single session per user"（1人のユーザに1つのセッション）が選択された場合、HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ Terminal Server \ fSingleSessionPerUserは "1"に設定されます。
• "Hide users on logon screen"（ログオン画面でユーザを非表示にする）が選択された場合、HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ dontdisplaylastusernameが "1"に設定されます。
• "Allow to start custom programs" （カスタムプログラムの起動を許可する）が選択された場合、HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ Terminal Server \ HonorLegacySettingsが "1"に設定されます。
• "GUI Authentication Only"（GUI認証のみ）が選択された場合、HKEY_LOCAL_MACHINE¥SYSTEM¥ControlSet001¥Control¥Terminal Server¥WinStations¥RDP-Tcp¥UserAuthenticationは"0"に設定されます。
• "Default RDP"（デフォルトRDP）が選択された場合、HKEY_LOCAL_MACHINE¥SYSTEM¥ControlSet001¥Control¥Terminal Server¥WinStations¥RDP-Tcp¥UserAuthenticationが "1"に設定されます。
• "Network Level Authentication"（ネットワークレベルの認証）が選択された場合、HKEY_LOCAL_MACHINE¥SYSTEM¥ControlSet001¥Control¥Terminal Server¥WinStations¥RDP-Tcp¥UserAuthenticationは "2"に設定されます。
• "Disable Shadowing"（シャドウイング無効化）が選択された場合、 HKEY_LOCAL_MACHINE¥SOFTWARE¥Policies¥Microsoft¥Windows NT¥Terminal Services¥ShadowおよびHKEY_LOCAL_MACHINE¥SYSTEM¥ControlSet001¥Control¥Terminal Server¥WinStations¥RDP-Tcp¥Shadowは "0"に設定されます。
• "Full access with user's permission"（ユーザの許可有りフルアクセス）が選択された場合、 HKEY_LOCAL_MACHINE¥SOFTWARE¥Policies¥Microsoft¥Windows NT¥Terminal Services¥ShadowおよびHKEY_LOCAL_MACHINE¥SYSTEM¥ControlSet001¥Control¥Terminal Server¥WinStations¥RDP-Tcp¥Shadowは"1"に設定されます。
• "Full access with user's permission" （ユーザの許可なしフルアクセス）が選択された場合、 HKEY_LOCAL_MACHINE¥SOFTWARE¥Policies¥Microsoft¥Windows NT¥Terminal Services¥ShadowおよびHKEY_LOCAL_MACHINE¥SYSTEM¥ControlSet001¥Control¥Terminal Server¥WinStations¥RDP-Tcp¥Shadowは"2"に設定されます。
• "View only with user's permission"（ユーザの許可があるときのみ表示）を選択すると、 HKEY_LOCAL_MACHINE¥SOFTWARE¥Policies¥Microsoft¥Windows NT¥Terminal Services¥ShadowおよびHKEY_LOCAL_MACHINE¥SYSTEM¥ControlSet001¥Control¥Terminal Server¥WinStations¥RDP-Tcp¥Shadowは"3"に設定されます。
• "View only without permission" （許可なしのときのみ表示）を選択すると、 HKEY_LOCAL_MACHINE¥SOFTWARE¥Policies¥Microsoft¥Windows NT¥Terminal Services¥ShadowおよびHKEY_LOCAL_MACHINE¥SYSTEM¥ControlSet001¥Control¥Terminal Server¥WinStations¥RDP-Tcp¥Shadowは"4"に設定されます。