Backdoor.Win32.REMCOS.TICOGCE

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %User Temp%\install.vbs ->-> deletes the original malware file and executes the copy
• %Application Data%\remcos\logs.dat -> contains the information stolen from the victim

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\System32\task.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• {Malware path and Malware name}
• %System%\WSCript.exe" "%User Temp%\install.vbs"
• %Application Data%\System32\task.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Erstellt die folgenden Ordner:

• %Application Data%\System32\
• %Application Data%\remcos

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• Mutex_RemWatchdog
• Remcos_Mutex_Inj

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
task = %Application Data%\System32\task.exe

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Create, Enumerate, Modify and Delete Registry Keys and Values
• Create, Enumerate, Modify, Start, Stop and Delete Services
• Create Image
• Change Wallpaper
• Start or Stop Keylogger (Activities is logged in logs.dat)
• Restart, Sleep, Logs off or Shutdown affected Computer
• Copy clipboard data
• Set clipboard data
• Clear clipboard data
• Download file/s to affected computer
• Upload file/s from affected computer
• Delete file/s
• Rename file/s
• Enumerate Files
• Enumerate Process
• Terminate Process
• Download file
• Screen Capture
• Create Directory
• Delete Directory
• Change File attributes
• Play, Pause, Stop and Record Audio
• Show, Open, Maximize, Minimize and Exit/Close a Window
• Execute File
• Save Image
• Enumerates and Checks Open Window
• Pop-up a Menu or a Message Box
• Retrieve and Clear logins and login credentials and cookies from the following browsers:
  • Google Chrome
  • Mozilla Firefox
  • Internet Explorer

Datendiebstahl

Folgende Daten werden gesammelt:

• Computer Name
• Windows Architecture (x32 or x64)
• User Privilage (Admin or Not)
• Username
• Locale Info
• Keyboard Input
• Mouse Activity
• User Keystrokes
• User Activity (Idle Time)
• Memory Information
• Enumerate Drives and Get Drive type

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Remcos-F5NWKC
exepath = {Hex Values}

HKEY_CURRENT_USER\Software\Remcos-F5NWKC
licence = {Hex Values}

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
{File Name}

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
{File Name}\Recent File List

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
{File Name}\Settings