Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер XWorm RAT

XWorm RAT

До Mezo през Зловреден софтуер, Инструменти за отдалечено администриране, Крадциг
Превод на:

Показател за заплахи

Popularity Rank: 4,286
Ниво на заплаха: 80 % (Високо)
Заразени компютри: 312
Първо видяно: April 24, 2023
Последно видян: January 22, 2026
Засегнати операционни системи: Windows

Зловреден софтуер XWorm е идентифициран като заплаха от категорията троянски кон за отдалечен достъп (RAT). RATs са специално проектирани да позволяват неоторизиран достъп и контрол на компютъра на жертвата от киберпрестъпници. С използването на RAT атакуващите могат отдалечено да наблюдават и наблюдават потребителските дейности, да крадат чувствителни данни и да изпълняват широк набор от злонамерени операции върху компрометираната система, в зависимост от техните специфични цели. Според изследователите, XWorm RAT се предлага за продажба от своите разработчици на цена от $400.

XWorm RAT може да открадне широка гама от чувствителна информация

XWorm RAT притежава широк набор от възможности, които го правят изключително сложна и опасна заплаха в ръцете на киберпрестъпниците. Една от основните му функционалности е способността да открадне незабелязано ценна системна информация от компютъра на жертвата. RAT може да открадне чувствителни данни от популярни браузъри. XWorm може да извлича пароли, бисквитки, данни за кредитни карти, отметки, изтегляния, ключови думи и история на сърфиране от браузъри Chromium. По същия начин може да открадне пароли, бисквитки, отметки и история от браузърите на Firefox, което значително компрометира сигурността на онлайн дейностите на жертвата.

Освен това, възможностите на XWorm обхващат насочване към различни приложения и услуги. Може да открадне данни за сесии на Telegram, токени на Discord, пароли за WiFi, данни от Metamask и FileZilla. Освен това XWorm може да осъществява достъп до редактора на системния регистър, да регистрира натискания на клавиши, да стартира ransomware за криптиране на файлове и да изисква откуп и да манипулира данни, услуги и процеси в клипборда.

Освен кражба на информация, XWorm има способността да изпълнява файлове, давайки на атакуващите правомощията да стартират различни злонамерени програми и полезни товари на компрометираната система. Освен това троянският кон може да получи неоторизиран достъп до уеб камерата и микрофона на жертвата, което представлява значително нахлуване в поверителността и позволява на нападателите да наблюдават дейностите на жертвата. Обхватът на XWorm се простира още повече, тъй като може да отваря URL адреси, да изпълнява команди на обвивката и да управлява файлове, като ефективно дава на атакуващите пълен контрол над компютъра на жертвата.

Нападателите могат дори да използват XWorm, за да активират или деактивират критични системни компоненти и функции като контрол на потребителските акаунти (UAC), редактор на регистъра, диспечера на задачите, защитна стена и системни актуализации. Възможността за извикване на Синия екран на смъртта (BSoD) добавя още едно ниво на смущения и потенциални щети върху системата на жертвата.

XWorm RAT може да се използва за доставяне на Ransomware полезни товари на пробитите устройства

Една важна способност на XWorm е способността му да извършва атаки с рансъмуер. Рансъмуерът заплашва софтуер, който криптира файлове, което ги прави недостъпни без конкретен ключ за дешифриране. Впоследствие операторите на XWorm могат да поискат плащане от жертвата в замяна на предоставяне на необходимия софтуер за дешифриране, за да си възвърнат достъпа до криптираните файлове.

Освен това е наблюдавано, че XWorm се използва от киберпрестъпници за кражба на клипборда. Тази техника включва наблюдение на злонамерен софтуер и прихващане на данни, копирани в клипборда на жертвата, със специфичен фокус върху подмяната на адресите на портфейла на криптовалута. Например, ако жертва копира адрес на портфейл за Bitcoin, Ethereum или друга криптовалута, XWorm открива данните и ги заменя с адрес на портфейл, притежаван от киберпрестъпниците. Следователно жертвите несъзнателно изпращат средствата си в портфейла на хакерите вместо на адреса на предвидения получател.

Широката гама от злонамерени възможности, наблюдавани в XWorm RAT, включва и функционалност за записване на клавиатури. Keylogging включва вредния процес на тайно улавяне и запис на всички въвеждания от клавиатурата, направени от потребител на заразена система. Това означава, че паролите, идентификационните данни за влизане, чувствителните съобщения и друга лична информация се записват тайно и се предават на командния и контролен сървър на атакуващия.

Доклад за анализ

Главна информация

Family Name: Keylogger.XWormRAT
Signature status: No Signature

Known Samples

MD5: 8393544e67726805f0c88ccda151372c
SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037
SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE
Размер на файла: 2.97 MB, 2971648 bytes
MD5: 6c081bbee7b8c0dede2869a2d239d3c3
SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee
SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD
Размер на файла: 11.78 KB, 11776 bytes
MD5: 0ae34e0fa21b649ebfc90052b713682a
SHA1: ce89172965fe3205dc28014db093c5c19a3e1236
SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E
Размер на файла: 55.30 KB, 55296 bytes
MD5: 5d7149ceedf9f6ae4fbe58771daeec84
SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe
SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B
Размер на файла: 44.54 KB, 44544 bytes
MD5: e27820ce232dfe90f0e7eda36614d2d1
SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7
SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805
Размер на файла: 2.07 MB, 2074112 bytes
Show More
MD5: 4489cbaa5dc8e45ad3293280175bda02
SHA1: 6a2f992055737bd58e936c01c86ed965034dce57
SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459
Размер на файла: 265.73 KB, 265728 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Име Стойност
Assembly Version 1.0.0.0
Company Name Synaptics
File Description
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
File Version
  • 1.0.0.4
  • 1.0.0.0
Internal Name
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
Legal Copyright
  • Copyright © 2020
  • Copyright © 2021
Original Filename
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
Product Name
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
Product Version
  • 1.0.0.0

File Traits

  • .NET
  • 00 section
  • 2+ executable sections
  • dll
  • HighEntropy
  • Installer Version
  • NewLateBinding
  • ntdll
  • RijndaelManaged
  • Run
Show More
  • x86

Block Information

Total Blocks: 74
Potentially Malicious Blocks: 41
Whitelisted Blocks: 20
Unknown Blocks: 13

Visual Map

0 x x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? ? x x x ? x x x x x x x x 0 x x x x x ? ? ? ? x ? ? x x x ? ? x x ? x x x ? 0 x x x x x 0 0 x x x x x x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.BypassUAC.K
  • MSIL.BypassUAC.LC
  • MSIL.BypassUAC.P
  • MSIL.Downloader.CAYD
  • MSIL.Rozena.GG

Files Modified

File Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296 Generic Write,Read Attributes

Registry Modifications

Key::Value Данни API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory %windir%\tracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing RegNtPreCreateKey
Show More
HKLM\software\microsoft\tracing\rasmancs::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory %windir%\tracing RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
  • SetWindowsHookEx
User Data Access
  • GetComputerName
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Anti Debug
  • CheckRemoteDebuggerPresent
  • IsDebuggerPresent
  • NtQuerySystemInformation
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcCreatePortSection
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtPowerInformation
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThread
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId

8 additional items are not displayed above.

Encryption Used
  • BCryptOpenAlgorithmProvider
Process Manipulation Evasion
  • ReadProcessMemory
Network Winsock2
  • WSAConnect
  • WSASocket
  • WSAStartup
  • WSAttemptAutodialName
Network Winsock
  • closesocket
  • freeaddrinfo
  • getaddrinfo
  • recv
  • send
  • setsockopt
Network Winhttp
  • WinHttpOpen
Network Info Queried
  • GetAdaptersAddresses
  • GetNetworkParams

Тенденция

Axischainedge.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Постоянното предпазване при сърфиране в мрежата е от решаващо значение. Измамните уебсайтове са създадени да експлоатират невниманието и любопитството, често разчитайки на измамни тактики, като...

Imorportabless.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Безопасността онлайн никога не е била по-важна. Всеки ден потребителите се сблъскват с безброй уебсайтове, реклами и изскачащи прозорци, много от които са предназначени не да информират, а да...

Най-гледан

Зловреден софтуер

Фишинг, Спам
28,544
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...