Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run\] 'Remcos' = '"%ALLUSERSPROFILE%\Remcos\remcos.exe"'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'Remcos' = '"%ALLUSERSPROFILE%\Remcos\remcos.exe"'
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие пользовательские процессы:
- remcos.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\nqmbj.w
- %TEMP%\xrxwuads.j
- %TEMP%\mzzfe.exe
- %TEMP%\74c2.tmp
- %ALLUSERSPROFILE%\remcos\remcos.exe
- %TEMP%\install.vbs
- %TEMP%\8ae1.tmp
- %ALLUSERSPROFILE%\remcos\logs.dat
Удаляет следующие файлы
- %TEMP%\install.vbs
Сетевая активность
Подключается к
- '10#.#14.107.27':80
- '91.##2.100.20':7967
- 'ge###ugin.net':80
TCP
Запросы HTTP GET
- http://10#.#14.107.27/spaceXX/vbc.exe
- http://ge###ugin.net/json.gp
Другие
- '91.##2.100.20':7967
UDP
- DNS ASK ge###ugin.net
Другое
Создает и запускает на исполнение
- '%TEMP%\mzzfe.exe'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\install.vbs"
- '%ALLUSERSPROFILE%\remcos\remcos.exe'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\install.vbs"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c "%ALLUSERSPROFILE%\Remcos\remcos.exe"' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe' /c "%ALLUSERSPROFILE%\Remcos\remcos.exe"
