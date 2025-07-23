Befehls-ID Kernfunktionalität

0x1 Ein Ping-Befehl.

0x2 Deaktiviert das Senden von Keepalive-Paketen.

0x3 Listet die installierten Anwendungen auf.

0x6 Listet laufende Prozesse auf.

0x7 Beendet einen Prozess.

0x9 Schließt ein Fenster.

0xA Zeigt ein maximiertes Fenster an.

0xB Zeigt ein Fenster.

0xC Beendet einen Prozess über das Fensterhandle.

0xD Führt einen Shell-Befehl aus.

0xE Startet einen Piped-Shell.

0xF Führt ein Programm aus.

0x10 Lädt Screenshots auf den C2-Server hoch.

0x11 Erhält den globalen IP-Standort des Hosts.

0x12 Ruft Informationen aus der Offline-Keylogger-Funktion ab.

0x13 Startet den Keylogger im Online-Modus.

0x14 Stoppt den Keylogger beim Start im Online-Modus.

0x15 Lädt Keylogger-Daten auf den C2 hoch.

0x16 Lädt Keylogger-Daten auf den C2 hoch.

0x17 Löscht Keylogger-Daten.

0x18 Löscht Browser-Cookies und Anmeldedaten.

0x1B Startet das Webcam-Aufnahmemodul.

0x1C Stoppt das Webcam-Aufzeichnungsmodul.

0x1D Aktiviert das Mikrofonaufnahmemodul.

0x1E Deaktiviert das Mikrofonaufnahmemodul.

0x1F Versucht, Zugangsdaten aus verschiedenen Programmen zu stehlen. Nutzt die Nirsoft-Passwortwiederherstellungs-Dienstprogramme: https://www.nirsoft.net/ (Der Link befindet sich außerhalb von ibm.com).

0x20 Löscht eine Datei oder einen Ordner.

0x21 Beendet seinen eigenen Prozess und den Prozess des Überwachungssystems.

0x22 Deinstalliert Remcos vom System.

0x23 Startet den Computer neu.

0x24 Aktualisiert Remcos von einer bereitgestellten URL.

0x25 Aktualisiert Remcos mithilfe des C2-Servers.

0x26 Zeigt ein Meldungsfeld an.

0x27 Führt zu einem Herunterfahren oder Ruhezustand des Systems.

0x28 Lädt Daten aus der Zwischenablage auf den C2-Server hoch.

0x29 Setzt die Zwischenablage auf die in C2 definierten Daten.

0x2A Löscht die Zwischenablage.

0x2B Lädt und führt eine DLL vom C2 aus.

0x2C Lädt und führt eine DLL von einer angegebenen URL aus.

0x2F Bearbeitet die Registrierung auf der Grundlage der vom C2 bereitgestellten Werte.

0x30 Scheint dem Angreifer die Möglichkeit zu geben, mit dem Opfer zu chatten.

0x31 Legt den Remcos-Namensbezeichner fest.

0x32 Ermöglicht die Verwendung und Verwaltung von Proxys.

0x34 Ermöglicht es Remcos, Systemdienste zu verwalten.

0x8F Sucht nach einer Datei im System.

0x92 Legt das Systemhintergrundbild fest.

0x94 Legt den Text eines Fensters fest und listet aktive Prozesse mit Fenstern mit EnumWindows() auf.

0x97 Lädt die Ergebnisse des Befehls „dxdiag“ auf den C2-Server hoch.

0x98 Ermöglicht Remcos die Verwaltung von Dateien durch Aktionen wie Kopieren, Verschieben und Löschen.

0x99 Lädt Screenshot-Daten auf das C2 hoch.

0x9A Speichert den Verlauf des Web-Browsers mithilfe der ausführbaren Dateien von Nirsoft.

0x9E Spielt eine Audiodatei „alarm.wav“ ab. Diese Datei wird vom C2-Server abgerufen.

0x9F Ermöglicht das Abspielen von „alarm.wav“ bei C2-Trennung.

0xA0 Deaktiviert die Wiedergabe von „alarm.wav“ bei C2-Trennung.

0xA2 Downloads „alarm.wav“ vom C2-Server.

0xA3 Spielt eine Audiodatei ab.

0xAB Erhöht einen Prozess.

0xAC Aktiviert das Protokollierungskonsolenfenster.

0xAD Zeigt das Protokollierungskonsolenfenster an.

0xAE Blendet das Protokollierungskonsolenfenster aus.

0xB2 Injiziert eine ausführbare Datei in einen neuen Prozess und führt sie aus.

0xC5 Legt einen Registrierungswert fest.

0xC6 Lädt Browser-Cookies und Passwörter auf das C2 hoch.

0xC8 Unterbricht einen Prozess.

0xC9 Nimmt einen Prozess wieder auf.

0xCA Liest eine Datei und sendet den Inhalt an den C2-Server.

0xCB Schreibt C2-bereitgestellte Inhalte in eine Datei.

0xCC Startet den Keylogger im Offline-Modus.

0xCD Stoppt den Keylogger, wenn er im Offline-Modus gestartet wird.