Author: Mio Fidel Villena   
 

Mal/FareitVB-M (SOPHOS_LITE); Fareit-FKN!E19B32C60811 (NAI);

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Backdoor

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet, Eliminado por otro tipo de malware

Ejecuta determinados comandos que recibe de forma remota desde un usuario malicioso. De esta forma pone en gran peligro el equipo afectado y la información del mismo.

Recopila determinada información del equipo afectado.

  TECHNICAL DETAILS

File size: 483,328 bytes
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 12 февраля 2018
PAYLOAD: Compromises system security, Collects system information, Drops files

Instalación

Crea las carpetas siguientes:

  • %Application Data%\Screens
  • %Application Data%\remcos

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

  • Remcos_Mutex_Inj
  • remcos_jowruopvcmlbafo

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\remcos_jowruopvcmlbafo
EXEpath = {Hex Values}

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • “ping”
  • “getdrives” - Get Drive list
  • “listfiles” - List all files
  • “open” - Open a File
  • “download” - Get file/s from Affected Computer
  • “upload” - Upload file/s to Affected Computer
  • “delete”- Delete File/s from Affected Computer
  • “rename” - Rename File/s from Affected Computer
  • “newfolder” - Create new Directory
  • “search” - Search a file from affected computer
  • “Stopsearch” - stop searching files from affected computer
  • “downloadfromurltofile”
  • “downloadfromlocaltofile”
  • “getproclist”
  • “prockill” - terminates process
  • “getwindows” - list all open application
  • “closewindow” - minimize
  • “maxwindow” - maximize
  • “restorewindow” - switch application
  • “closeprocfromwindow” - Terminate application
  • “execcom” - Run command
  • “consolecmd” - open cmd
  • “openaddress” - open webpage
  • “initializescrcap” - opens screen capture
  • “freescrcap” - close screen capture
  • “initklfrm” - open keylogger
  • “startonlinekl” - start live keylogger
  • “stoponlinekl” - stop live keylogger
  • “getofflinelogs” - download logs from %Application Data%\remcos\logs.dat
  • “autogetofflinelogs” - set affected computer to send logs automatically
  • “deletekeylog” - deletes %Application Data%\remcos\logs.dat
  • “Clearlogins” - deletes cookies and stored browser logins
  • “getscrslist” - get screenshots from %Application Data%\Screens\
  • “dwldscr” - get screenshot
  • “initcamcap” - start capturing image from camera if available
  • “freecamcap” - ends capturing image
  • “miccapture” - start capturing voice if mic is available
  • “stopmiccapture” - ends capturing voice
  • “pwgrab” - gets user password
  • “Deletefile” - deletespecificfile
  • “Close” - exits monitoring the affected computer
  • “Uninstall” - remove startup registry entries and creates and execute
  • a batch file in %User Temp%\ that will delete the host file
  • “updatefromurl” - downloads file from internet, update registry entries creates and execute a batch file in %User Temp%\ that will replace all old files
  • “updatefromlocal” - gets file from remote user update registry entries creates and execute a batch file in %User Temp%\ that will replace all old files
  • “msgbox” - display a messagebox to affected computer
  • “keyinput” - sends keyboard input
  • “mclick” - sends mouse click
  • “OSpower” - Shutdown affected Computer
  • “getclipboard” - copy clipboard data
  • “setclipboard” - set clipboard data
  • “emptyclipboard”- clear clipboard data
  • “dlldata” - sends dll to affected computer and loads it directly in the memory
  • “dllurl” - downloads dll from url to affected computer and loads it directly in the memory
  • “initfun” - do joke commands to affected computer
  • “initremscript” - can create a VBS/JS/Bat script then execute to affected computer
  • “initregedit” - can manipulate registry entries

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Rutina de infiltración

Infiltra los archivos siguientes:

  • %Application Data%\Screens\{ascending number}.png -> Screenshots
  • %Application Data%\remcos\logs.dat -> log file

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Robo de información

Recopila la siguiente información del equipo afectado:

  • User Name
  • Computer Name
  • IP address
  • OS Version
  • Keyboard strokes
  • Computer Activity via Screenshots & Logs

  SOLUTION

Minimum scan engine: 9.850
First VSAPI Pattern File: 13.992.05
First VSAPI Pattern Release Date: 27 de февраля de 2018
VSAPI OPR PATTERN-VERSION: 13.993.00
VSAPI OPR PATTERN DATE: 28 de февраля de 2018

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 3

Reiniciar en modo seguro

[ learnMore ]

Step 4

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

 
  • In HKEY_CURRENT_USER\Software\remcos_jowruopvcmlbafo
    • EXEpath = {Hex Values}

Step 5

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción "Más opciones avanzadas" para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.
  • %Application Data%\Screens\{ascending number}.png
  • %Application Data%\remcos\logs.dat
 DATA_GENERIC_FILENAME_1
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado el archivo, selecciónelo y, a continuación, pulse MAYÚS+SUPR para eliminarlo definitivamente.
  • Repita los pasos 2 a 4 con el resto de archivos:
      • %Application Data%\Screens\{ascending number}.png
      • %Application Data%\remcos\logs.dat

    • Step 6

    Buscar y eliminar estas carpetas

    [ learnMore ]
    Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todas las carpetas ocultas.
    • %Application Data%\Screens
    • %Application Data%\remcos

    Step 7

    Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como BKDR_RESCOMS.YYWL En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


    Did this description help? Tell us how we did.