Trojan.Win32.REMCOS.EONJ
Windows
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
TECHNICAL DETAILS
Detalles de entrada
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Instalación
Infiltra los archivos siguientes:
- %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\birkesenes.pac
- %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\ledvist.Roc157
- %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\radsaar.fri
- %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\rejekllingens.plo
- %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\annektere.uno
- %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\shivering.chr
- %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\torchman.not
- %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\zapas.lys
- %User Profile%\angelo\julebuffet\cosmoid\Aregeneratory\dovendyrets\Forbrugerbevidstes\Antithet.Erh
- %User Temp%\{6-alphanumeric characters}.tmp\System.dll
- %All Users Profile%\remcos\logs.dat
- %User Temp%\{6-alphanumeric characters 1}.tmp
- %User Temp%\{6-alphanumeric characters 2}.tmp
- %Temporary Internet Files%\Content.IE5\YEFGVF95\json[1].gp
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario} y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).)Agrega los procesos siguientes:
- {Malware File Path}\{Malware File Name}.exe
Crea las carpetas siguientes:
- %User Profile%\angelo\julebuffet\cosmoid\Aregeneratory\dovendyrets\Forbrugerbevidstes
- %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic
- %All Users Profile%\remcos
- %User Temp%\{6-alphanumeric characters}.tmp
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario} y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).)Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
udkld
murray = 0x00000000
HKEY_CURRENT_USER\Software\Rmc-OB0RTV
exepath = {Hex Values}
HKEY_CURRENT_USER\Software\Rmc-OB0RTV
licence = {Hex Value}
HKCU\Software\Rmc-OB0RTV
time = {10-digit value}
Otros detalles
It connects to the following possibly malicious URL:
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.52/IMBapQOoMPYrOmixJkLO29.bin
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.50
- https://{BLOCKED}gin.net