Análisis realizado por : Mio Fidel Villena   

 Alias

Mal/FareitVB-M (SOPHOS_LITE); Fareit-FKN!E19B32C60811 (NAI);

 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Backdoor

  • Destructivo?
    No

  • Cifrado
    No

  • In the Wild:

  Resumen y descripción

Canal de infección Descargado de Internet, Eliminado por otro tipo de malware

Ejecuta determinados comandos que recibe de forma remota desde un usuario malicioso. De esta forma pone en gran peligro el equipo afectado y la información del mismo.

Recopila determinada información del equipo afectado.

  Detalles técnicos

Tamaño del archivo 483,328 bytes
Residente en memoria
Fecha de recepción de las muestras iniciales 12 febrero 2018
Carga útil Compromises system security, Collects system information, Drops files

Instalación

Crea las carpetas siguientes:

  • %Application Data%\Screens
  • %Application Data%\remcos

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

  • Remcos_Mutex_Inj
  • remcos_jowruopvcmlbafo

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\remcos_jowruopvcmlbafo
EXEpath = {Hex Values}

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • “ping”
  • “getdrives” - Get Drive list
  • “listfiles” - List all files
  • “open” - Open a File
  • “download” - Get file/s from Affected Computer
  • “upload” - Upload file/s to Affected Computer
  • “delete”- Delete File/s from Affected Computer
  • “rename” - Rename File/s from Affected Computer
  • “newfolder” - Create new Directory
  • “search” - Search a file from affected computer
  • “Stopsearch” - stop searching files from affected computer
  • “downloadfromurltofile”
  • “downloadfromlocaltofile”
  • “getproclist”
  • “prockill” - terminates process
  • “getwindows” - list all open application
  • “closewindow” - minimize
  • “maxwindow” - maximize
  • “restorewindow” - switch application
  • “closeprocfromwindow” - Terminate application
  • “execcom” - Run command
  • “consolecmd” - open cmd
  • “openaddress” - open webpage
  • “initializescrcap” - opens screen capture
  • “freescrcap” - close screen capture
  • “initklfrm” - open keylogger
  • “startonlinekl” - start live keylogger
  • “stoponlinekl” - stop live keylogger
  • “getofflinelogs” - download logs from %Application Data%\remcos\logs.dat
  • “autogetofflinelogs” - set affected computer to send logs automatically
  • “deletekeylog” - deletes %Application Data%\remcos\logs.dat
  • “Clearlogins” - deletes cookies and stored browser logins
  • “getscrslist” - get screenshots from %Application Data%\Screens\
  • “dwldscr” - get screenshot
  • “initcamcap” - start capturing image from camera if available
  • “freecamcap” - ends capturing image
  • “miccapture” - start capturing voice if mic is available
  • “stopmiccapture” - ends capturing voice
  • “pwgrab” - gets user password
  • “Deletefile” - deletespecificfile
  • “Close” - exits monitoring the affected computer
  • “Uninstall” - remove startup registry entries and creates and execute
  • a batch file in %User Temp%\ that will delete the host file
  • “updatefromurl” - downloads file from internet, update registry entries creates and execute a batch file in %User Temp%\ that will replace all old files
  • “updatefromlocal” - gets file from remote user update registry entries creates and execute a batch file in %User Temp%\ that will replace all old files
  • “msgbox” - display a messagebox to affected computer
  • “keyinput” - sends keyboard input
  • “mclick” - sends mouse click
  • “OSpower” - Shutdown affected Computer
  • “getclipboard” - copy clipboard data
  • “setclipboard” - set clipboard data
  • “emptyclipboard”- clear clipboard data
  • “dlldata” - sends dll to affected computer and loads it directly in the memory
  • “dllurl” - downloads dll from url to affected computer and loads it directly in the memory
  • “initfun” - do joke commands to affected computer
  • “initremscript” - can create a VBS/JS/Bat script then execute to affected computer
  • “initregedit” - can manipulate registry entries

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Rutina de infiltración

Infiltra los archivos siguientes:

  • %Application Data%\Screens\{ascending number}.png -> Screenshots
  • %Application Data%\remcos\logs.dat -> log file

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Robo de información

Recopila la siguiente información del equipo afectado:

  • User Name
  • Computer Name
  • IP address
  • OS Version
  • Keyboard strokes
  • Computer Activity via Screenshots & Logs

  Soluciones

Motor de exploración mínimo 9.850
Primer archivo de patrones de VSAPI 13.992.05
Primera fecha de publicación de patrones de VSAPI 27 de febrero de 2018
Versión de patrones OPR de VSAPI 13.993.00
Fecha de publicación de patrones OPR de VSAPI 28 de febrero de 2018

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 3

Reiniciar en modo seguro

[ aprenda más ]

Step 4

Eliminar este valor del Registro

[ aprenda más ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

 
  • In HKEY_CURRENT_USER\Software\remcos_jowruopvcmlbafo
    • EXEpath = {Hex Values}

Step 5

Buscar y eliminar estos archivos

[ aprenda más ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción "Más opciones avanzadas" para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.
  • %Application Data%\Screens\{ascending number}.png
  • %Application Data%\remcos\logs.dat
DATA_GENERIC_FILENAME_1
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado el archivo, selecciónelo y, a continuación, pulse MAYÚS+SUPR para eliminarlo definitivamente.
  • Repita los pasos 2 a 4 con el resto de archivos:
      • %Application Data%\Screens\{ascending number}.png
      • %Application Data%\remcos\logs.dat
  • Step 6

    Buscar y eliminar estas carpetas

    [ aprenda más ]
    Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todas las carpetas ocultas.
    • %Application Data%\Screens
    • %Application Data%\remcos

    Step 7

    Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como BKDR_RESCOMS.YYWL En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


    Rellene nuestra encuesta!