Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma XWorm RAT

XWorm RAT

Vuonna Mezo vuonna Haittaohjelma, Etähallintatyökalut, Varastajat
Käännä:

Uhkien tuloskortti

Popularity Rank: 4,582
Uhka taso: 80 % (Korkea)
Tartunnan saaneet tietokoneet: 353
Ensin nähty: April 24, 2023
Viimeksi nähty: April 8, 2026
Vaikuttavat käyttöjärjestelmät: Windows

XWorm-haittaohjelma on tunnistettu uhkaksi Remote Access Trojan (RAT) -luokasta. RAT:t on suunniteltu erityisesti mahdollistamaan verkkorikollisten luvaton pääsy uhrin tietokoneelle ja sen hallinta. RAT:ien avulla hyökkääjät voivat tarkkailla ja tarkkailla käyttäjien toimintoja etänä, varastaa arkaluontoisia tietoja ja suorittaa monia haitallisia toimintoja vaarantuneessa järjestelmässä omien tavoitteidensa mukaan. Tutkijoiden mukaan kehittäjät tarjoavat XWorm RAT:n myyntiin 400 dollarin hintaan.

XWorm RAT voi varastaa laajan valikoiman arkaluonteisia tietoja

XWorm RAT:lla on laaja valikoima ominaisuuksia, jotka tekevät siitä erittäin kehittyneen ja vaarallisen uhan kyberrikollisten käsissä. Yksi sen tärkeimmistä toiminnoista on kyky varastaa arvokasta järjestelmätietoa uhrin tietokoneelta. RAT voi varastaa arkaluonteisia tietoja suosituista selaimista. XWorm voi poimia salasanoja, evästeitä, luottokorttitietoja, kirjanmerkkejä, latauksia, avainsanoja ja selaushistoriaa Chromium-selaimista. Samoin se voi varastaa salasanoja, evästeitä, kirjanmerkkejä ja historiaa Firefox-selaimista, mikä vaarantaa suuresti uhrin verkkotoimintojen turvallisuuden.

Lisäksi XWormin ominaisuudet kattavat kohdistamisen erilaisiin sovelluksiin ja palveluihin. Se voi varastaa Telegram-istuntotiedot, Discord-tunnisteet, WiFi-salasanat, Metamask- ja FileZilla-tiedot. Lisäksi XWorm voi käyttää rekisterieditoria, kirjata näppäinpainalluksia, suorittaa kiristysohjelmia tiedostojen salaamiseksi ja vaatia lunnaita sekä käsitellä leikepöydän tietoja, palveluita ja prosesseja.

Tietovarkauksien lisäksi XWorm pystyy suorittamaan tiedostoja, jolloin hyökkääjät voivat ajaa erilaisia haittaohjelmia ja hyötykuormia vaarantuneessa järjestelmässä. Lisäksi troijalainen voi saada luvattoman pääsyn uhrin verkkokameraan ja mikrofoniin, mikä loukkaa merkittävästi yksityisyyttä ja antaa hyökkääjille mahdollisuuden seurata uhrin toimintaa. XWormin ulottuvuus laajenee entisestään, koska se voi avata URL-osoitteita, suorittaa komentotulkkikomentoja ja hallita tiedostoja, jolloin hyökkääjät voivat tehokkaasti hallita uhrin tietokonetta.

Hyökkääjät voivat jopa käyttää XWormia kriittisten järjestelmäkomponenttien ja -ominaisuuksien, kuten käyttäjätilien valvonnan (UAC), rekisterieditorin, Task Managerin, palomuurin ja järjestelmäpäivitysten, käyttöön tai poistamiseen käytöstä. Mahdollisuus kutsua Blue Screen of Death (BSoD) lisää häiriöitä ja mahdollisia vahinkoja uhrin järjestelmään.

XWorm RATia voitaisiin käyttää ransomware-hyötykuormien toimittamiseen rikkoutuneille laitteille

Yksi XWormin merkittävä ominaisuus on sen kyky suorittaa kiristysohjelmahyökkäyksiä. Ransomware on uhkaava ohjelmisto, joka salaa tiedostoja ja tekee niistä mahdottomia käyttää ilman erityistä salauksen purkuavainta. Tämän jälkeen XWormin operaattorit voivat vaatia uhrilta maksua vastineeksi tarvittavan salauksenpurkuohjelmiston toimittamisesta salattujen tiedostojen palauttamiseksi.

Lisäksi verkkorikollisten on havaittu käyttäneen XWormia leikepöydän kaappaamiseen. Tämä tekniikka sisältää haittaohjelmien valvonnan ja uhrin leikepöydälle kopioitujen tietojen sieppaamisen keskittyen erityisesti kryptovaluuttalompakko-osoitteiden korvaamiseen. Jos uhri esimerkiksi kopioi Bitcoinin, Ethereumin tai muun kryptovaluutan lompakkoosoitteen, XWorm havaitsee tiedot ja korvaa ne kyberrikollisten omistamalla lompakkoosoitteella. Tämän seurauksena uhrit lähettävät tahattomasti varansa hakkereiden lompakkoon aiotun vastaanottajan osoitteen sijaan.

XWorm RAT:ssa havaittu laaja valikoima haitallisia ominaisuuksia sisältää myös näppäinlokitoiminnon. Näppäimistön kirjaamiseen liittyy haitallinen prosessi, jossa salaa kaapataan ja tallennetaan kaikki käyttäjän tekemät näppäimistösyötteet tartunnan saaneessa järjestelmässä. Tämä tarkoittaa, että salasanat, kirjautumistiedot, arkaluontoiset viestit ja muut henkilökohtaiset tiedot tallennetaan salaa ja lähetetään hyökkääjän komento- ja ohjauspalvelimelle.

Analyysiraportti

Yleistä tietoa

Family Name: Keylogger.XWormRAT
Signature status: Self Signed

Known Samples

MD5: 8393544e67726805f0c88ccda151372c
SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037
SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE
Tiedoston koko: 2.97 MB, 2971648 bytes
MD5: 6c081bbee7b8c0dede2869a2d239d3c3
SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee
SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD
Tiedoston koko: 11.78 KB, 11776 bytes
MD5: 0ae34e0fa21b649ebfc90052b713682a
SHA1: ce89172965fe3205dc28014db093c5c19a3e1236
SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E
Tiedoston koko: 55.30 KB, 55296 bytes
MD5: 5d7149ceedf9f6ae4fbe58771daeec84
SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe
SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B
Tiedoston koko: 44.54 KB, 44544 bytes
MD5: e27820ce232dfe90f0e7eda36614d2d1
SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7
SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805
Tiedoston koko: 2.07 MB, 2074112 bytes
Show More
MD5: 4489cbaa5dc8e45ad3293280175bda02
SHA1: 6a2f992055737bd58e936c01c86ed965034dce57
SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459
Tiedoston koko: 265.73 KB, 265728 bytes
MD5: 65d0a7755d74384f5055dd3b6af0cc4d
SHA1: 4c5fc802b2fd21968cd23e8ccf670f047b2d886e
SHA256: 6CCF676F2A8A079838085894C8039408F5E463663AD880A64EEB933A7C927449
Tiedoston koko: 11.78 KB, 11776 bytes
MD5: 60631806cffc9ef3b048d4d52b06fdb5
SHA1: ab2f4dddb861207328134ed450c90def1b15f638
SHA256: 0957B6708D693848F3C9D4544DE95E044BE691670E83B199157CA87A398BEC49
Tiedoston koko: 40.96 KB, 40960 bytes
MD5: 7800b8cc29632ba356e56836453e84fa
SHA1: 6b6daa1115657576393bb302ad0abd590f9d7549
SHA256: 51AA320823FE8A588EF618EECE24DC71F7DAE3B4B8A88E5E6C69F2BEA09CAD88
Tiedoston koko: 2.91 MB, 2908304 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Nimi Arvo
Assembly Version
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0
Company Name
  • Synaptics
  • www.UnlockClient.co
File Description
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
  • UnlockClient
  • Update
File Version
  • 1.0.0.4
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0
Internal Name
  • construsonhos.cloud3.exe
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
  • UnlockClient.exe
  • Update.dll
Legal Copyright
  • Copyright © 2020
  • Copyright © 2021
  • www.UnlockClient.co
Original Filename
  • construsonhos.cloud3.exe
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
  • UnlockClient.exe
  • Update.dll
Product Name
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
  • UnlockClient
  • Update
Product Version
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0

Digital Signatures

Signer Root Status
UnlockClient.co UnlockClient.co Self Signed

File Traits

  • .NET
  • 00 section
  • 2+ executable sections
  • dll
  • HighEntropy
  • Installer Version
  • NewLateBinding
  • ntdll
  • RijndaelManaged
  • Run
Show More
  • x86

Block Information

Total Blocks: 3
Potentially Malicious Blocks: 0
Whitelisted Blocks: 3
Unknown Blocks: 0

Visual Map

0 0 0
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.BypassUAC.K
  • MSIL.BypassUAC.LC
  • MSIL.BypassUAC.LD
  • MSIL.BypassUAC.P
  • MSIL.Downloader.CAYD
Show More
  • MSIL.Kryptik.AR
  • MSIL.Rozena.GG

Files Modified

File Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296 Generic Write,Read Attributes

Registry Modifications

Key::Value Data API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory %windir%\tracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing RegNtPreCreateKey
Show More
HKLM\software\microsoft\tracing\rasmancs::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory %windir%\tracing RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
  • SetWindowsHookEx
User Data Access
  • GetComputerName
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Anti Debug
  • CheckRemoteDebuggerPresent
  • IsDebuggerPresent
  • NtQuerySystemInformation
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcCreatePortSection
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtPowerInformation
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThread
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId

8 additional items are not displayed above.

Encryption Used
  • BCryptOpenAlgorithmProvider
Process Manipulation Evasion
  • ReadProcessMemory
Network Winsock2
  • WSAConnect
  • WSASocket
  • WSAStartup
  • WSAttemptAutodialName
Network Winsock
  • closesocket
  • freeaddrinfo
  • getaddrinfo
  • recv
  • send
  • setsockopt
Network Winhttp
  • WinHttpOpen
Network Info Queried
  • GetAdaptersAddresses
  • GetNetworkParams

Trendaavat

Pilvipalvelusi on poistettu käytöstä -sähköpostihuijaus

Tietojenkalastelu, Roskaposti
Odottamattomiin sähköposteihin, erityisesti kiireellisiin tai huolestuttaviin, tulee aina suhtautua varoen. Kyberrikolliset naamioivat usein vilpilliset viestit laillisiksi ilmoituksiksi huijatakseen vastaanottajia tekemään haitallisia toimia. On tärkeää korostaa, että huijausviestit, kuten "Pilvipalvelusi on poistettu käytöstä", eivät liity mihinkään laillisiin yrityksiin, organisaatioihin tai...

Eniten katsottu

Ladataan...