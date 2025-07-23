ID do comando Funcionalidade

0x1 Um comando ping.

0x2 Desativa o envio de pacotes keep-alive.

0x3 Lista as aplicações instaladas.

0x6 Lista os processos em execução.

0x7 Encerra um processo.

0x9 Fecha uma janela.

0xA Mostra uma janela maximizada.

0xB Mostra uma janela.

0xC Encerra um processo através do identificador da janela.

0xD Executa um comando shell.

0xE Inicia um shell canalizado.

0xF Executa um programa.

0x10 Faz upload de capturas de tela para o servidor C2.

0x11 Obtém a localização global do IP do host.

0x12 Obtém informações da funcionalidade keylogger offline.

0x13 Inicia o keylogger no modo online.

0x14 Interrompe o keylogger quando iniciado no modo online.

0x15 Carrega dados de keylogger para o C2.

0x17 Exclui os dados do keylogger.

0x18 Limpa cookies e logins do navegador.

0x1B Inicia o módulo de gravação da webcam.

0x1C Interrompe o módulo de gravação da webcam.

0x1D Ativa o módulo de gravação de microfone.

0x1E Desativa o módulo de gravação de microfone.

0x1F Tentativas de roubo de credenciais de vários programas. Utiliza os utilitários de recuperação de senha da Nirsoft: https://www.nirsoft.net/ (O link está localizado fora do site ibm.com).

0x20 Exclui um arquivo ou pasta.

0x21 Encerra seu próprio processo e o processo de watchdog.

0x22 Desinstala o Remcos do sistema.

0x23 Reinicia o computador.

0x24 Atualiza o Remcos a partir de uma URL fornecida.

0x25 Atualiza Remcos usando o servidor C2.

0x26 Exibe uma caixa de mensagem.

0x27 Faz com que ocorra o desligamento ou a hibernação do sistema.

0x28 Envia dados da área de transferência para o servidor C2.

0x29 Define a área de transferência para dados definidos em C2.

0x2A Limpa a área de transferência.

0x2B Carrega e executa uma DLL do C2.

0x2C Carrega e executa uma DLL a partir de uma URL fornecida.

0x2F Edita o registro com base nos valores fornecidos pelo C2.

0x30 Aparentemente, permite que o atacante converse com a vítima.

0x31 Define o identificador de nome do Remcos.

0x32 Permite o uso e gerenciamento de proxies.

0x34 Permite que o Remcos gerencie os serviços do sistema.

0x8F Procura um arquivo no sistema.

0x92 Define o plano de fundo do sistema.

0x94 Define o texto de uma janela e lista os processos ativos com janelas usando EnumWindows().

0x97 Carrega os resultados do comando "dxdiag" para o servidor C2.

0x98 Permite que o Remcos gerencie arquivos por meio de ações como copiar, mover e excluir.

0x99 Faz upload de dados da captura de tela para o C2.

0x9A Extrai o histórico do navegador web usando executáveis da Nirsoft.

0x9E Reproduz um arquivo de áudio " alarm.wav ". Esse arquivo é obtido do servidor C2.

0x9F Permite reproduzir "alarm.wav" ao desconectar C2.

0xA0 Desativa a reprodução de "alarm.wav" ao desconectar C2.

0xA2 Downloads "alarm.wav" do servidor C2.

0xA3 Reproduz um arquivo de áudio.

0xAB Eleva um processo.

0xAC Ativa a janela do console de registro.

0xAD Mostra a janela do console de registro.

0xAE Oculta a janela do console de registro.

0xB2 Injeta um executável em um novo processo e o executa.

0xC5 Define um valor de registro.

0xC6 Carrega cookies e senhas de navegadores para o C2.

0xC8 Suspende um processo.

0xC9 Retoma um processo.

0xCA Lê um arquivo e envia o conteúdo para o servidor C2.

0xCB Grava o conteúdo fornecido por C2 em um arquivo.

0xCC Inicia o keylogger no modo offline.

0xCD Interrompe o keylogger quando iniciado no modo offline.