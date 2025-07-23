ID de comando Funcionalidad

0x1 Un comando de ping.

0x2 Desactiva el envío de paquetes de mantenimiento de conexión.

0x3 Enumera las aplicaciones instaladas.

0x6 Enumera los procesos en ejecución.

0x7 Termina un proceso.

0x9 Cierra una ventana.

0xA Muestra una ventana maximizada.

0xB Muestra una ventana.

0xC Finaliza un proceso por identificador de ventana.

0xD Ejecuta un comando de shell.

0xE Inicia un shell canalizado.

0xF Ejecuta un programa.

0x10 Sube capturas de pantalla al servidor C2.

0x11 Obtiene la ubicación IP global del host.

0x12 Obtiene información de la funcionalidad del keylogger sin conexión.

0x13 Inicia el keylogger en modo en línea.

0x14 Detiene el keylogger cuando se inicia en modo en línea.

0x15 Sube los datos del keylogger al C2.

0x16 Sube los datos del keylogger al C2.

0x17 Elimina los datos del keylogger.

0x18 Borra las cookies del navegador y los accesos de sesión.

0x1B Inicia el módulo de grabación de la cámara web.

0x1C Detiene el módulo de grabación de la cámara web.

0x1D Activa el módulo de grabación de micrófono.

0x1E Deshabilita el módulo de grabación del micrófono.

0x1F Intenta robar credenciales de varios programas. Emplea las utilidades de recuperación de contraseñas de Nirsoft: https://www.nirsoft.net/ (Enlace externo a ibm.com).

0x20 Elimina un archivo o carpeta.

0x21 Finaliza su propio proceso y el proceso del organismo de control.

0x22 Desinstala Remcos del sistema.

0x23 Reinicia la computadora.

0x24 Actualiza Remcos desde una URL proporcionada.

0x25 Actualiza Remcos utilizando el servidor C2.

0x26 Muestra un cuadro de mensaje.

0x27 Provoca un apagado o hibernación del sistema.

0x28 Sube los datos del portapapeles al servidor C2.

0x29 Establece el portapapeles en datos definidos por C2.

0x2A Limpia el portapapeles.

0x2B Carga y ejecuta un DLL desde el C2.

0x2C Carga y ejecuta un DLL desde una URL proporcionada.

0x2F Edita el registro en función de los valores proporcionados por C2.

0x30 Parece permitir al atacante chatear con la víctima.

0x31 Establece el identificador de nombre de Remcos.

0x32 Permite el uso y gestión de proxies.

0x34 Permite a Remcos gestionar los servicios del sistema.

0x8F Busca un archivo en el sistema.

0x92 Establece el fondo de pantalla del sistema.

0x94 Establece el texto de una ventana y enumera los procesos activos con ventanas mediante EnumWindows().

0x97 Carga los resultados del comando "dxdiag" en el servidor C2.

0x98 Permite a Remcos gestionar archivos a través de acciones como copiar, mover y eliminar.

0x99 Carga datos de captura de pantalla en C2.

0x9A Vuelca el historial del navegador web mediante ejecutables de Nirsoft.

0x9E Reproduce un archivo de audio "alarm.wav". Este archivo se obtiene del servidor C2.

0x9F Permite reproducir "alarm.wav" en la desconexión de C2.

0xA0 Deshabilita la reproducción de "alarm.wav" en la desconexión de C2.

0xA2 Descarga "alarm.wav" desde el servidor C2.

0xA3 Reproduce un archivo de audio.

0xAB Eleva un proceso.

0xAC Activa la ventana de la consola de registro.

0xAD Muestra la ventana de la consola de registro.

0xAE Oculta la ventana de la consola de registro.

0xB2 Inyecta un ejecutable en un nuevo proceso y lo ejecuta.

0xC5 Establece un valor de registro.

0xC6 Carga cookies y contraseñas del navegador al C2.

0xC8 Suspende un proceso.

0xC9 Reanuda un proceso.

0xCA Lee un archivo y envía el contenido al servidor C2.

0xCB Escribe contenido proporcionado por C2 en un archivo.

0xCC Inicia el keylogger en modo fuera de línea.

0xCD Detiene el keylogger cuando se inicia en modo fuera de línea.