Backdoor.Win32.REMCOS.TICOGBZ
Windows
恶意软件类型:
Backdoor
有破坏性?:
没有
加密?:
是的
In the Wild:
是的
概要
它以电子邮件消息附件的形式出现,而此垃圾邮件由其他恶意软件/灰色软件/间谍软件或恶意用户发送。
它执行远程恶意用户的命令,有效地攻击受感染的系统。
技术详细信息
新病毒详细信息
它以电子邮件消息附件的形式出现,而此垃圾邮件由其他恶意软件/灰色软件/间谍软件或恶意用户发送。
安装
它在受感染的系统中植入下列自身副本:
- %User Profile%\Music\regdrv.exe
- %User Profile%\Videos\Regdriver.exe
(注意: %User Profile% 是当前用户的概要文件文件夹,通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT) 和 C:\Documents and Settings\{user name} (Windows 2000、XP 和 Server 2003)。)
它植入下列文件:
- %User Temp%\aspr_keys.ini ← (to be deleted afterward)
- %User Profile%\Music\aspr_keys.ini ← (to be deleted afterward)
- %Application Data%\remcos\logs.dat← (component file)
(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。. %User Profile% 是当前用户的概要文件文件夹,通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT) 和 C:\Documents and Settings\{user name} (Windows 2000、XP 和 Server 2003)。. %Application Data% 是当前用户的 Application Data 文件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)
它植入和执行下列文件:
- %User Profile%\Music\regdrv.exe
(注意: %User Profile% 是当前用户的概要文件文件夹,通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT) 和 C:\Documents and Settings\{user name} (Windows 2000、XP 和 Server 2003)。)
它添加下列互斥条目,确保一次只会运行一个副本:
- Remcos_Mutex_Inj
- explorer-{Random Characters}
自启动技术
它添加下列注册表项,在系统每次启动时自行执行:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Registry Driver = %User Profile%\Videos\Regdriver.exe
其他系统修改
它添加下列注册表键值:
HKEY_CURRENT_USER\Software\explorer-{Random Characters}
lic = {Hex Values}
HKEY_CURRENT_USER\Software\explorer-{Random Characters}
exepath = {Hex Values}
后门例程
它执行远程恶意用户的下列命令:
- Perform ping
- Enumerate drives
- List all files
- Open file/s
- Get file/s from affected computer
- Upload file/s to affected computer
- Delete file/s from affected computer
- Rename file/s from affected computer
- Create new directory
- Search a file from affected computer
- Download file from url
- Download file from local
- Enumerate process
- Terminate process
- Maximize/Minimize application
- Switch application
- Terminate application
- Open cmd
- Open webpage
- Open screen capture
- Open keylogger
- Set affected computer to send logs automatically
- Deletes cookies and stored browser logins
- Get screenshot
- Capture image from camera if available
- Capture voice from mic if available
- Acquire user password
- Display a messagebox to affected computer
- Sends keyboard input
- Sends mouse click
- Shutdown affected Computer
- Copy clipboard data
- Set clipboard data
- Clear clipboard data
- Manipulate registry entries
解决方案
Step 1
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 3
重启进入安全模式
Step 4
确定和终止Backdoor.Win32.REMCOS.TICOGBZ检测到的文件
Step 5
删除该注册表键值
注意事项:错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者,请先阅读Microsoft文章,然后再修改计算机注册表。
- In HKEY_CURRENT_USER\Software
- explorer-{Random Characters}
- explorer-{Random Characters}
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Registry Driver
- Registry Driver
Step 6
搜索和删除该文件
- %User Temp%\aspr_keys.ini
- %User Profile%\Music\regdrv.exe
- %User Profile%\Videos\Regdriver.exe
- %User Profile%\Music\aspr_keys.ini
- %Application Data%\remcos\logs.dat
Step 7
重启进入正常模式,使用亚信安全产品扫描计算机,检测Backdoor.Win32.REMCOS.TICOGBZ文件 如果检测到的文件已被亚信安全产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。