Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run\] 'Rmc-X5MJYU' = '"%ALLUSERSPROFILE%\Remcos\remcos.exe"'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'Rmc-X5MJYU' = '"%ALLUSERSPROFILE%\Remcos\remcos.exe"'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\.exe
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- launcher.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\remcos\remcos.exe
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\remcos\remcos.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -command Copy-Item '%ALLUSERSPROFILE%\Remcos\remcos.exe' '%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -command Copy-Item '<Полный путь к файлу>' '%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\.exe'
- '%ProgramFiles(x86)%\opera\launcher.exe'
