BKDR_RESCOMS.YYWL
Mal/FareitVB-M (SOPHOS_LITE); Fareit-FKN!E19B32C60811 (NAI);
Windows
Tipo di minaccia informatica:
Backdoor
Distruttivo?:
No
Crittografato?:
No
In the wild::
Sì
Panoramica e descrizione
Ejecuta determinados comandos que recibe de forma remota desde un usuario malicioso. De esta forma pone en gran peligro el equipo afectado y la información del mismo.
Recopila determinada información del equipo afectado.
Dettagli tecnici
Instalación
Crea las carpetas siguientes:
- %Application Data%\Screens
- %Application Data%\remcos
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:
- Remcos_Mutex_Inj
- remcos_jowruopvcmlbafo
Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\remcos_jowruopvcmlbafo
EXEpath = {Hex Values}
Rutina de puerta trasera
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- “ping”
- “getdrives” - Get Drive list
- “listfiles” - List all files
- “open” - Open a File
- “download” - Get file/s from Affected Computer
- “upload” - Upload file/s to Affected Computer
- “delete”- Delete File/s from Affected Computer
- “rename” - Rename File/s from Affected Computer
- “newfolder” - Create new Directory
- “search” - Search a file from affected computer
- “Stopsearch” - stop searching files from affected computer
- “downloadfromurltofile”
- “downloadfromlocaltofile”
- “getproclist”
- “prockill” - terminates process
- “getwindows” - list all open application
- “closewindow” - minimize
- “maxwindow” - maximize
- “restorewindow” - switch application
- “closeprocfromwindow” - Terminate application
- “execcom” - Run command
- “consolecmd” - open cmd
- “openaddress” - open webpage
- “initializescrcap” - opens screen capture
- “freescrcap” - close screen capture
- “initklfrm” - open keylogger
- “startonlinekl” - start live keylogger
- “stoponlinekl” - stop live keylogger
- “getofflinelogs” - download logs from %Application Data%\remcos\logs.dat
- “autogetofflinelogs” - set affected computer to send logs automatically
- “deletekeylog” - deletes %Application Data%\remcos\logs.dat
- “Clearlogins” - deletes cookies and stored browser logins
- “getscrslist” - get screenshots from %Application Data%\Screens\
- “dwldscr” - get screenshot
- “initcamcap” - start capturing image from camera if available
- “freecamcap” - ends capturing image
- “miccapture” - start capturing voice if mic is available
- “stopmiccapture” - ends capturing voice
- “pwgrab” - gets user password
- “Deletefile” - deletespecificfile
- “Close” - exits monitoring the affected computer
- “Uninstall” - remove startup registry entries and creates and execute
- a batch file in %User Temp%\ that will delete the host file
- “updatefromurl” - downloads file from internet, update registry entries creates and execute a batch file in %User Temp%\ that will replace all old files
- “updatefromlocal” - gets file from remote user update registry entries creates and execute a batch file in %User Temp%\ that will replace all old files
- “msgbox” - display a messagebox to affected computer
- “keyinput” - sends keyboard input
- “mclick” - sends mouse click
- “OSpower” - Shutdown affected Computer
- “getclipboard” - copy clipboard data
- “setclipboard” - set clipboard data
- “emptyclipboard”- clear clipboard data
- “dlldata” - sends dll to affected computer and loads it directly in the memory
- “dllurl” - downloads dll from url to affected computer and loads it directly in the memory
- “initfun” - do joke commands to affected computer
- “initremscript” - can create a VBS/JS/Bat script then execute to affected computer
- “initregedit” - can manipulate registry entries
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Rutina de infiltración
Infiltra los archivos siguientes:
- %Application Data%\Screens\{ascending number}.png -> Screenshots
- %Application Data%\remcos\logs.dat -> log file
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Robo de información
Recopila la siguiente información del equipo afectado:
- User Name
- Computer Name
- IP address
- OS Version
- Keyboard strokes
- Computer Activity via Screenshots & Logs
Soluzioni
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Reiniciar en modo seguro
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\remcos_jowruopvcmlbafo
- EXEpath = {Hex Values}
- EXEpath = {Hex Values}
Step 5
Buscar y eliminar estos archivos
- %Application Data%\Screens\{ascending number}.png
- %Application Data%\remcos\logs.dat
- %Application Data%\Screens\{ascending number}.png
- %Application Data%\remcos\logs.dat
Step 6
Buscar y eliminar estas carpetas
- %Application Data%\Screens
- %Application Data%\remcos
Step 7
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como BKDR_RESCOMS.YYWL En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Sondaggio