Backdoor.Win32.REMCOS.USMANEAGFO

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Ordner hinzu:

• %Application Data%\remcos\

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %AppDataLocal%\Uyxl\Uyxltrn.exe

Schleust die folgenden Dateien ein:

• %Desktop%\{malware filename minus last 7 characters} -> jpg file
• %AppDataLocal%\Uyxl\Uyxl -> copy of jpg file dropped in %Desktop%
• %AppDataLocal%\Uyxl\Uyxlmes.vbs -> script to run executable malware copy
• %AppDataLocal%\Uyxl\Uyxl_steo.hta -> script to run vbs file
• %User Temp%\uninstall.vbs -> uninstalls the malware
• %User Temp%\update.vbs -> updates the malware
• %User Temp%\restart.vbs -> restarts the malware
• %Application Data%\remcos\logs.dat -> record of user keystrokes
• %User Temp%\install.vbs -> installs the malware
• %Application Data%\remcos\remcos.exe

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\Desktop unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• Uyxl
• Remcos_Mutex_Inj
• Remcos-JTF5PJ
• Mutex_RemWatchdog

Injiziert Code in die folgenden Prozesse:

• %System%\TapiUnattend.exe
• %System%\svchost.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Uyxl = %AppDataLocal%\Uyxl\Uyxl_steo.hta

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Policies\Run
remcos = %Application Data%\remcos\remcos.exe

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Remcos-JTF5PJ
exepath = {hex values}

HKEY_CURRENT_USER\Software\Remcos-JTF5PJ
licence = {random}

HKEY_CURRENT_USER\Software\Remcos-JTF5PJ
WD = 3492

HKEY_CURRENT_USER\Software\Remcos-JTF5PJ
pth_unenc = %System%\TapiUnattend.exe

HKEY_CURRENT_USER\Software\Remcos-JTF5PJ
v = 2.5.0 Pro

Datendiebstahl

Folgende Daten werden gesammelt:

• Computer name
• User name
• Home drive
• Logon server
• Processor architecture
• Windows version
• System type (x64, x86)
• User access (if admin or not)
• Memory information
• Browser logins and cookies
• User keystrokes
• Session name
• User profile
• User domain

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

• Delete files
• Rename files
• Upload files
• Download files
• Browse directories
• Obtain file/directory attributes
• Execute files
• Open files
• Activate keylogger
• Copy and paste text to and from clipboard
• Create shortcuts
• Retrieve logins and cookies from the following browsers:
  • Google Chrome
  • Mozilla Firefox
  • Internet Explorer
• Ping an address
• Display a messagebox
• Shutdown machine
• Put machine to sleep
• Terminate processes
• Perform registry changes
• Display image
• Play alarm
• Play/record audio
• List windows
• Send keyboard/mouse input
• Execute shell commands
• Open the command prompt
• Open the event viewer
• Use the camera