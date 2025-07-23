ID de la commande watsonx.data

0x1 Une commande ping.

0x2 Désactive l’envoi de paquets keep-alive.

0x3 Liste les applications installées.

0x6 Liste les processus en cours.

0x7 Met fin à un processus.

0x9 Ferme une fenêtre.

0xA Affiche une fenêtre maximisée.

0xB Affiche une fenêtre.

0xC Termine un processus par son handle de fenêtre.

0xD Exécute une commande shell.

0xE Démarre un shell redirigé (piped).

0xF Exécute un programme.

0x10 Envoie les captures d’écran vers le serveur C2.

0x11 Obtient l’adresse IP globale de l’hôte.

0x12 Obtient des informations via la fonctionnalité d’enregistreur de frappe (keylogger) hors ligne.

0x13 Démarre le keylogger en mode connecté.

0x14 Arrête le keylogger lorsqu’il est démarré en mode connecté.

0x15 Envoie les données du keylogger vers le C2.

0x17 Supprime les données du keylogger.

0x18 Efface les cookies et les identifiants de connexion du navigateur.

0x1B Démarre le module d’enregistrement de la webcam.

0x1C Arrête le module d’enregistrement de la webcam.

0x1D Active le module d’enregistrement du microphone.

0x1E Désactive le module d’enregistrement du microphone.

0x1F Tente de voler des identifiants provenant de divers programmes. Utilise les utilitaires de récupération de mots de passe : https://www.nirsoft.net/ (lien externe à ibm.com).

0x20 Supprime un fichier ou un dossier.

0x21 Met fin à son propre processus et au processus du chien de garde (watchdog).

0x22 Désinstalle Remcos du système.

0x23 Redémarre l’ordinateur.

0x24 Met à jour Remcos à partir d’une URL fournie.

0x25 Met à jour Remcos via le serveur C2.

0x26 Affiche une boîte de message.

0x27 Provoque l’arrêt du système ou sa mise en veille prolongée.

0x28 Envoie les données du presse-papiers vers le serveur C2.

0x29 Définit le contenu du presse-papiers avec les données fournies par le C2.

0x2A Efface le presse-papiers.

0x2B Charge et exécute une DLL depuis le C2.

0x2C Charge et exécute une DLL à partir de l’URL fournie.

0x2F Modifie le registre en fonction des valeurs fournies par le C2.

0x30 Semble permettre à l’attaquant de discuter avec la victime.

0x31 Définit l’identifiant de nom de Remcos.

0x32 Autorise l’utilisation et la gestion de proxys.

0x34 Permet à Remcos de gérer les services système.

0x8F Recherche un fichier sur le système.

0x92 Définit le fond d’écran du système.

0x94 Définit le texte d’une fenêtre et liste les processus actifs ayant des fenêtres à l’aide de EnumWindows().

0x97 Envoie les résultats de la commande « dxdiag » vers le serveur C2.

0x98 Permet à Remcos de gérer des fichiers via des actions telles que la copie, le déplacement et la suppression.

0x99 Envoie les données de capture d’écran vers le C2.

0x9A Récupère l’historique du navigateur Web à l’aide des exécutables Nirsoft.

0x9E Lit un fichier audio « alarm.wav ». Ce fichier est obtenu depuis le serveur C2.

0x9F Active la lecture de « alarm.wav » lors de la déconnexion du C2.

0xA0 Désactive la lecture de « alarm.wav » lors de la déconnexion du C2.

0xA2 Télécharge « alarm.wav » depuis le serveur C2.

0xA3 Lit un fichier audio.

0xAB Élève les privilèges d'un processus.

0xAC Active la fenêtre de console de journalisation.

0xAD Affiche la fenêtre de la console de journalisation.

0xAE Masque la fenêtre de la console de journalisation.

0xB2 Injecte un exécutable dans un nouveau processus et l’exécute.

0xC5 Définit une valeur de registre.

0xC6 Envoie les cookies et les mots de passe du navigateur vers le C2.

0xC8 Suspend un processus.

0xC9 Reprend un processus.

0xCA Lit un fichier et envoie son contenu au serveur C2.

0xCB Écrit le contenu fourni par le C2 dans un fichier.

0xCC Démarre le keylogger en mode déconnecté.

0xCD Arrête le keylogger lorsqu’il est démarré en mode déconnecté.