文章总结： 文档揭示了RemcosRAT的最新变种已从本地数据窃取演变为实时在线监控，通过网络钓鱼或入侵网站感染系统后，建立直接C2通信实现实时屏幕、键盘记录及网络摄像头视频流监控。其采用运行时API解密、内存中重建C2地址等规避技术，并在活动后删除浏览器数据、记录文件及自身注册表项以清理痕迹。建议使用安全工具检测并进入安全模式后运行全面扫描清除感染。 综合评分： 78 文章分类： 恶意软件,威胁情报,终端安全,应急响应,安全意识

安装视频监控的家庭请注意：Remcos RAT 演变成实时监控噩梦

原创

ZM ZM

暗镜

2026年2月22日 07:00 辽宁

Remcos 曾是一款商业远程管理工具，后来却演变成臭名昭著的远程访问木马 (RAT)，如今它又迎来了升级。Point Wild安全研究人员发布的一份最新分析报告显示，Remcos 的最新变种从根本上改变了其运行策略，放弃了本地数据存储，转而进行即时、实时的间谍活动。

这种恶意软件通常通过网络钓鱼邮件或被入侵的网站感染系统，现在其设计目的是将受害者的计算机变成网络犯罪分子的直播站。

过去，Remcos 和类似的远程访问木马会悄悄收集键盘输入、屏幕截图和密码，将它们存储在受害者硬盘上的隐藏文件中，然后再将其窃取。Point Wild 的分析表明，这种情况已不复存在。

“这种变种病毒不会像其他病毒那样在受感染的系统上窃取和存储数据，而是建立直接的在线命令与控制 (C2) 通信，从而实现实时访问和控制。”

这种演变使得恶意软件变得异常危险。攻击者不再等待下载日志，而是实时监视受害者。“尤其值得一提的是，它利用网络摄像头捕获实时视频流，使攻击者能够远程监控目标，”研究人员警告说。“这种从本地数据窃取到实时在线监控的转变，标志着Remcos能力的提升，增加了即时间谍活动和持续监控的风险。”

为了维持窃取数据的实时传输，Remcos 的开发者在规避技术方面投入了大量资源。该恶意软件通过混淆其内部运行机制，主动向杀毒软件隐藏自身功能。

Point Wild 的分析详细指出：“API 在运行时解密，以规避静态检测，阻碍逆向工程，并在执行期间动态解决恶意功能。”

此外，Remcos 还隐藏了其命令与控制服务器的目标地址。它不会以明文形式存储 C2 IP 地址；相反，它会在发起网络调用之前，使用逐字节异或解密循环直接在系统内存中重建该地址。

该恶意软件的摄像头功能也采用模块化设计。为了保持初始文件体积小且不易引起怀疑，Remcos 本身并不包含摄像头代码。相反，当收到攻击者的指令时，它会从 C2 服务器直接下载特定的动态链接库 (DLL) 有效载荷到内存中，以初始化视频捕获设备并对视频流进行编码。

对于事故响应人员来说，最令人沮丧的一点或许是，新型 Remcos 变种武器清理犯罪现场的方式是多么细致入微。

恶意软件在窃取凭证和传输数据后，会启动一套激进的反取证程序。“这种策略可以清除其活动痕迹，干扰取证分析，并削弱凭证窃取或会话劫持的证据，”报告解释道。

清理工作包括：

• 删除浏览器 cookie 和已存储的浏览数据。
• 删除所有临时记录文件（键盘记录、屏幕截图和录音）。
• 删除其自身的持久注册表项（例如 Rmc-GSEGIF 互斥锁）。
• 生成一个临时的 Visual Basic 脚本 (update.vbs)，该脚本在运行时删除原始恶意软件可执行文件，从而有效地使恶意软件消失得无影无踪。

尽管该威胁采用了这些先进的规避策略，但如果能及时发现，就可以将其消除。研究人员指出，像 UltraAV 这样的安全工具目前能够检测到这种高度规避的变种，其特征码为 Trojan.W32.111125.Remcos.YR。

为了清除感染，专家建议受害者将计算机重启到带网络连接的安全模式，以断开实时 C2 连接，然后再运行全面的防病毒扫描来删除恶意文件。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《安装视频监控的家庭请注意：Remcos RAT 演变成实时监控噩梦》