عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة XWorm RAT

XWorm RAT

بواسطة Mezo في البرمجيات الخبيثة, أدوات الإدارة عن بعد, سارقون
ترجمة الى:

التهديدات بطاقة الأداء

Popularity Rank: 4,286
مستوى التهديد: 80 % (عالي)
أجهزة الكمبيوتر المصابة: 312
الروية الأولى: April 24, 2023
اخر ظهور: January 22, 2026
نظام (أنظمة) متأثر: Windows

تم تحديد برنامج XWorm الضار على أنه تهديد من فئة حصان طروادة للوصول البعيد (RAT). تم تصميم RATs خصيصًا لتمكين الوصول غير المصرح به والتحكم في كمبيوتر الضحية بواسطة مجرمي الإنترنت. باستخدام RATs ، يمكن للمهاجمين مراقبة أنشطة المستخدم ومراقبتها عن بُعد ، وسرقة البيانات الحساسة ، وتنفيذ مجموعة واسعة من العمليات الضارة على النظام المخترق ، اعتمادًا على أهدافهم المحددة. وفقًا للباحثين ، يتم عرض XWorm RAT للبيع من قبل مطوريه بسعر 400 دولار.

يمكن لـ XWorm RAT سرقة مجموعة كبيرة من المعلومات الحساسة

تمتلك XWorm RAT مجموعة واسعة من القدرات التي تجعلها تهديدًا شديد التعقيد وخطيرًا في أيدي مجرمي الإنترنت. تتمثل إحدى وظائفه الأساسية في القدرة على سرقة معلومات النظام القيمة من كمبيوتر الضحية خلسة. يمكن لـ RAT سرقة البيانات الحساسة من المتصفحات الشائعة. يمكن لـ XWorm استخراج كلمات المرور وملفات تعريف الارتباط وتفاصيل بطاقة الائتمان والإشارات المرجعية والتنزيلات والكلمات الرئيسية وسجل التصفح من متصفحات Chromium. وبالمثل ، يمكنه سرقة كلمات المرور وملفات تعريف الارتباط والإشارات المرجعية والمحفوظات من متصفحات Firefox ، مما يعرض أمان أنشطة الضحية عبر الإنترنت للخطر بشكل كبير.

علاوة على ذلك ، تشمل قدرات XWorm استهداف مجموعة متنوعة من التطبيقات والخدمات. يمكنه سرقة بيانات جلسة Telegram ورموز Discord وكلمات مرور WiFi و Metamask وبيانات FileZilla. بالإضافة إلى ذلك ، يمكن لـ XWorm الوصول إلى محرر التسجيل ، وتسجيل ضغطات المفاتيح ، وتشغيل برامج الفدية لتشفير الملفات والمطالبة بفدية ، والتعامل مع بيانات وخدمات وعمليات الحافظة.

بالإضافة إلى سرقة المعلومات ، فإن XWorm لديها القدرة على تنفيذ الملفات ، ومنح المهاجمين القدرة على تشغيل العديد من البرامج الضارة والحمولات على النظام المخترق. بالإضافة إلى ذلك ، يمكن أن يحصل حصان طروادة على وصول غير مصرح به إلى كاميرا الويب والميكروفون الخاصين بالضحية ، مما يشكل انتهاكًا كبيرًا للخصوصية ويسمح للمهاجمين بمراقبة أنشطة الضحية. يمتد مدى وصول XWorm إلى أبعد من ذلك حيث يمكنه فتح عناوين URL وتنفيذ أوامر shell وإدارة الملفات ، مما يمنح المهاجمين سيطرة كاملة على كمبيوتر الضحية بشكل فعال.

يمكن للمهاجمين استخدام XWorm لتمكين أو تعطيل مكونات وميزات النظام الهامة مثل التحكم في حساب المستخدم (UAC) ومحرر التسجيل وإدارة المهام وجدار الحماية وتحديثات النظام. تضيف القدرة على استدعاء شاشة الموت الزرقاء (BSoD) طبقة أخرى من الاضطراب والضرر المحتمل لنظام الضحية.

يمكن استخدام XWorm RAT لتسليم حمولات Ransomware على الأجهزة التي تم اختراقها

إحدى القدرات المهمة لـ XWorm هي قدرتها على شن هجمات رانسوم وير. تهدد برامج الفدية البرامج التي تقوم بتشفير الملفات ، مما يجعل الوصول إليها غير ممكن بدون مفتاح فك تشفير محدد. بعد ذلك ، يمكن لمشغلي XWorm المطالبة بالدفع من الضحية مقابل توفير برنامج فك التشفير اللازم لاستعادة الوصول إلى الملفات المشفرة.

بالإضافة إلى ذلك ، لوحظ استخدام XWorm من قبل مجرمي الإنترنت لاختطاف الحافظة. تتضمن هذه التقنية مراقبة البرامج الضارة واعتراض البيانات المنسوخة إلى حافظة الضحية ، مع التركيز بشكل خاص على استبدال عناوين محفظة العملة المشفرة. على سبيل المثال ، إذا قام الضحية بنسخ عنوان محفظة Bitcoin أو Ethereum أو أي عنوان محفظة للعملات المشفرة ، فإن XWorm يكتشف البيانات ويستبدلها بعنوان محفظة مملوك لمجرمي الإنترنت. وبالتالي ، يرسل الضحايا أموالهم عن غير قصد إلى محفظة المتسللين بدلاً من عنوان المستلم المقصود.

النطاق الواسع من القدرات الخبيثة التي لوحظت في XWorm RAT يتضمن أيضًا وظيفة تسجيل المفاتيح. يتضمن Keylogging العملية الضارة المتمثلة في التقاط وتسجيل جميع مدخلات لوحة المفاتيح التي يقوم بها المستخدم على نظام مصاب. هذا يعني أن كلمات المرور وبيانات اعتماد تسجيل الدخول والرسائل الحساسة والمعلومات الشخصية الأخرى يتم تسجيلها خلسة وإرسالها إلى خادم الأوامر والتحكم الخاص بالمهاجم.

تقرير التحليل

معلومات عامة

Family Name: Keylogger.XWormRAT
Signature status: No Signature

Known Samples

MD5: 8393544e67726805f0c88ccda151372c
SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037
SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE
حجم الملف: 2.97 MB, 2971648 bytes
MD5: 6c081bbee7b8c0dede2869a2d239d3c3
SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee
SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD
حجم الملف: 11.78 KB, 11776 bytes
MD5: 0ae34e0fa21b649ebfc90052b713682a
SHA1: ce89172965fe3205dc28014db093c5c19a3e1236
SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E
حجم الملف: 55.30 KB, 55296 bytes
MD5: 5d7149ceedf9f6ae4fbe58771daeec84
SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe
SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B
حجم الملف: 44.54 KB, 44544 bytes
MD5: e27820ce232dfe90f0e7eda36614d2d1
SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7
SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805
حجم الملف: 2.07 MB, 2074112 bytes
Show More
MD5: 4489cbaa5dc8e45ad3293280175bda02
SHA1: 6a2f992055737bd58e936c01c86ed965034dce57
SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459
حجم الملف: 265.73 KB, 265728 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

اسم قيمة
Assembly Version 1.0.0.0
Company Name Synaptics
File Description
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
File Version
  • 1.0.0.4
  • 1.0.0.0
Internal Name
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
Legal Copyright
  • Copyright © 2020
  • Copyright © 2021
Original Filename
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
Product Name
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
Product Version
  • 1.0.0.0

File Traits

  • .NET
  • 00 section
  • 2+ executable sections
  • dll
  • HighEntropy
  • Installer Version
  • NewLateBinding
  • ntdll
  • RijndaelManaged
  • Run
Show More
  • x86

Block Information

Total Blocks: 74
Potentially Malicious Blocks: 41
Whitelisted Blocks: 20
Unknown Blocks: 13

Visual Map

0 x x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? ? x x x ? x x x x x x x x 0 x x x x x ? ? ? ? x ? ? x x x ? ? x x ? x x x ? 0 x x x x x 0 0 x x x x x x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.BypassUAC.K
  • MSIL.BypassUAC.LC
  • MSIL.BypassUAC.P
  • MSIL.Downloader.CAYD
  • MSIL.Rozena.GG

Files Modified

File Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296 Generic Write,Read Attributes

Registry Modifications

Key::Value بيانات API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory %windir%\tracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing RegNtPreCreateKey
Show More
HKLM\software\microsoft\tracing\rasmancs::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory %windir%\tracing RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
  • SetWindowsHookEx
User Data Access
  • GetComputerName
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Anti Debug
  • CheckRemoteDebuggerPresent
  • IsDebuggerPresent
  • NtQuerySystemInformation
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcCreatePortSection
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtPowerInformation
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThread
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId

8 additional items are not displayed above.

Encryption Used
  • BCryptOpenAlgorithmProvider
Process Manipulation Evasion
  • ReadProcessMemory
Network Winsock2
  • WSAConnect
  • WSASocket
  • WSAStartup
  • WSAttemptAutodialName
Network Winsock
  • closesocket
  • freeaddrinfo
  • getaddrinfo
  • recv
  • send
  • setsockopt
Network Winhttp
  • WinHttpOpen
Network Info Queried
  • GetAdaptersAddresses
  • GetNetworkParams

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
28,544
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...