XWorm RAT

번역 :

위협 스코어카드

Popularity Rank:	4,286
위협 수준:	80 % (높은)
감염된 컴퓨터:	312

처음 본 것:	April 24, 2023
마지막으로 본:	January 22, 2026
영향을 받는 OS:	Windows

XWorm 맬웨어는 원격 액세스 트로이 목마(RAT) 범주의 위협으로 식별됩니다. RAT는 사이버 범죄자가 피해자의 컴퓨터에 무단으로 액세스하고 제어할 수 있도록 특별히 설계되었습니다. 공격자는 RAT를 사용하여 특정 목표에 따라 원격으로 사용자 활동을 모니터링 및 관찰하고 민감한 데이터를 훔치고 손상된 시스템에서 광범위한 악의적인 작업을 실행할 수 있습니다. 연구원에 따르면 XWorm RAT는 개발자가 $400의 가격대로 판매하고 있습니다.

XWorm RAT는 광범위한 민감한 정보를 훔칠 수 있습니다.

XWorm RAT는 사이버 범죄자의 손에 매우 정교하고 위험한 위협이 되도록 하는 광범위한 기능을 보유하고 있습니다. 주요 기능 중 하나는 피해자의 컴퓨터에서 은밀하게 중요한 시스템 정보를 훔치는 기능입니다. RAT는 널리 사용되는 브라우저에서 민감한 데이터를 훔칠 수 있습니다. XWorm은 Chromium 브라우저에서 비밀번호, 쿠키, 신용 카드 정보, 책갈피, 다운로드, 키워드 및 검색 기록을 추출할 수 있습니다. 마찬가지로, Firefox 브라우저에서 암호, 쿠키, 북마크 및 기록을 훔쳐 피해자의 온라인 활동 보안을 크게 손상시킬 수 있습니다.

또한 XWorm의 기능은 다양한 응용 프로그램 및 서비스를 대상으로 합니다. Telegram 세션 데이터, Discord 토큰, WiFi 비밀번호, Metamask 및 FileZilla 데이터를 훔칠 수 있습니다. 또한 XWorm은 레지스트리 편집기에 액세스하고, 키 입력을 기록하고, 랜섬웨어를 실행하여 파일을 암호화하고 몸값을 요구하고, 클립보드 데이터, 서비스 및 프로세스를 조작할 수 있습니다.

정보 도용 외에도 XWorm은 파일을 실행할 수 있는 기능이 있어 공격자가 손상된 시스템에서 다양한 악성 프로그램과 페이로드를 실행할 수 있는 권한을 부여합니다. 또한 트로이 목마는 피해자의 웹캠과 마이크에 대한 무단 액세스 권한을 얻을 수 있어 개인 정보를 상당히 침해하고 공격자가 피해자의 활동을 모니터링할 수 있습니다. XWorm의 범위는 URL을 열고, 셸 명령을 실행하고, 파일을 관리할 수 있으므로 공격자가 피해자의 컴퓨터를 효과적으로 완전히 제어할 수 있으므로 훨씬 더 확장됩니다.

공격자는 XWorm을 사용하여 UAC(사용자 계정 컨트롤), 레지스트리 편집기, 작업 관리자, 방화벽 및 시스템 업데이트와 같은 중요한 시스템 구성 요소 및 기능을 활성화 또는 비활성화할 수도 있습니다. BSoD(Blue Screen of Death)를 호출하는 기능은 피해자의 시스템에 또 다른 중단 계층과 잠재적 손상을 추가합니다.

XWorm RAT는 침해된 장치에 랜섬웨어 페이로드를 전달하는 데 사용될 수 있습니다.

XWorm의 중요한 기능 중 하나는 랜섬웨어 공격을 수행하는 기능입니다. 랜섬웨어는 특정 암호 해독 키 없이는 파일에 액세스할 수 없도록 파일을 암호화하는 소프트웨어를 위협합니다. 결과적으로 XWorm의 운영자는 암호화된 파일에 다시 액세스하는 데 필요한 암호 해독 소프트웨어를 제공하는 대가로 피해자에게 지불을 요구할 수 있습니다.

또한 XWorm은 사이버 범죄자들이 클립보드 하이재킹에 이용하는 것으로 관찰되었습니다. 이 기술은 맬웨어 모니터링 및 피해자의 클립보드에 복사된 데이터 가로채기와 관련되며 특히 암호화폐 지갑 주소를 교체하는 데 중점을 둡니다. 예를 들어 피해자가 비트코인, 이더리움 또는 기타 암호화폐 지갑 주소를 복사하면 XWorm은 데이터를 감지하고 사이버 범죄자가 소유한 지갑 주소로 대체합니다. 결과적으로 피해자는 자신도 모르게 의도한 수신자의 주소 대신 해커의 지갑으로 자금을 보냅니다.

XWorm RAT에서 관찰되는 광범위한 악성 기능에는 키로깅 기능도 포함됩니다. 키로깅은 감염된 시스템에서 사용자가 수행한 모든 키보드 입력을 은밀하게 캡처하고 기록하는 유해한 프로세스를 포함합니다. 이는 암호, 로그인 자격 증명, 중요한 메시지 및 기타 개인 정보가 은밀하게 기록되어 공격자의 명령 및 제어 서버로 전송됨을 의미합니다.

분석 보고서

일반 정보

Family Name:	Keylogger.XWormRAT
Signature status:	No Signature

Known Samples

MD5: 8393544e67726805f0c88ccda151372c

SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037

SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE

파일 크기: 2.97 MB, 2971648 bytes

MD5: 6c081bbee7b8c0dede2869a2d239d3c3

SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee

SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD

파일 크기: 11.78 KB, 11776 bytes

MD5: 0ae34e0fa21b649ebfc90052b713682a

SHA1: ce89172965fe3205dc28014db093c5c19a3e1236

SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E

파일 크기: 55.30 KB, 55296 bytes

MD5: 5d7149ceedf9f6ae4fbe58771daeec84

SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe

SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B

파일 크기: 44.54 KB, 44544 bytes

MD5: e27820ce232dfe90f0e7eda36614d2d1

SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7

SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805

파일 크기: 2.07 MB, 2074112 bytes

MD5: 4489cbaa5dc8e45ad3293280175bda02

SHA1: 6a2f992055737bd58e936c01c86ed965034dce57

SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459

파일 크기: 265.73 KB, 265728 bytes

Windows Portable Executable Attributes

File doesn't have "Rich" header
File doesn't have debug information
File doesn't have exports table
File doesn't have security information
File has exports table
File has TLS information
File is .NET application
File is 32-bit executable
File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
File is either console or GUI application

File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
File is Native application (NOT .NET application)
File is not packed
IMAGE_FILE_DLL is not set inside PE header (Executable)
IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

이름	값
Assembly Version	1.0.0.0
Company Name	Synaptics
File Description	dSoft Synaptics Pointing Device Driver uninstall
File Version	1.0.0.4 1.0.0.0
Internal Name	dSoft.exe License Editor.exe Quantis.exe SearchSystem.exe uninstall.dll
Legal Copyright	Copyright © 2020 Copyright © 2021
Original Filename	dSoft.exe License Editor.exe Quantis.exe SearchSystem.exe uninstall.dll
Product Name	dSoft Synaptics Pointing Device Driver uninstall
Product Version	1.0.0.0

File Traits

.NET
00 section
2+ executable sections
dll
HighEntropy
Installer Version
NewLateBinding
ntdll
RijndaelManaged
Run

Block Information

Total Blocks:	74
Potentially Malicious Blocks:	41
Whitelisted Blocks:	20
Unknown Blocks:	13

Visual Map

0 x x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? ? x x x ? x x x x x x x x 0 x x x x x ? ? ? ? x ? ? x x x ? ? x x ? x x x ? 0 x x x x x 0 0 x x x x x x x x x

0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

MSIL.BypassUAC.K
MSIL.BypassUAC.LC
MSIL.BypassUAC.P
MSIL.Downloader.CAYD
MSIL.Rozena.GG

Files Modified

File	Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296	Generic Write,Read Attributes

Registry Modifications

Key::Value	데이터	API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing		RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing		RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing		RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask		RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask		RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize		RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory	%windir%\tracing	RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing		RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing		RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing		RegNtPreCreateKey

HKLM\software\microsoft\tracing\rasmancs::filetracingmask		RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask		RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize		RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory	%windir%\tracing	RegNtPreCreateKey

Windows API Usage

Category	API
Other Suspicious	AdjustTokenPrivileges SetWindowsHookEx
User Data Access	GetComputerName GetComputerNameEx GetUserDefaultLocaleName GetUserName GetUserObjectInformation
Anti Debug	CheckRemoteDebuggerPresent IsDebuggerPresent NtQuerySystemInformation
Syscall Use	ntdll.dll!NtAccessCheck ntdll.dll!NtAlertThreadByThreadId ntdll.dll!NtAlpcConnectPort ntdll.dll!NtAlpcCreatePortSection ntdll.dll!NtAlpcCreateSectionView ntdll.dll!NtAlpcCreateSecurityContext ntdll.dll!NtAlpcDeleteSecurityContext ntdll.dll!NtAlpcQueryInformation ntdll.dll!NtAlpcQueryInformationMessage ntdll.dll!NtAlpcSendWaitReceivePort Show More ntdll.dll!NtAlpcSetInformation ntdll.dll!NtApphelpCacheControl ntdll.dll!NtAssociateWaitCompletionPacket ntdll.dll!NtCancelWaitCompletionPacket ntdll.dll!NtClearEvent ntdll.dll!NtClose ntdll.dll!NtConnectPort ntdll.dll!NtCreateEvent ntdll.dll!NtCreateIoCompletion ntdll.dll!NtCreateKey ntdll.dll!NtCreateMutant ntdll.dll!NtCreatePrivateNamespace ntdll.dll!NtCreateSection ntdll.dll!NtCreateSemaphore ntdll.dll!NtCreateThreadEx ntdll.dll!NtCreateTimer2 ntdll.dll!NtCreateWaitCompletionPacket ntdll.dll!NtCreateWorkerFactory ntdll.dll!NtDelayExecution ntdll.dll!NtDeviceIoControlFile ntdll.dll!NtDuplicateObject ntdll.dll!NtDuplicateToken ntdll.dll!NtEnumerateKey ntdll.dll!NtEnumerateValueKey ntdll.dll!NtFreeVirtualMemory ntdll.dll!NtGetCompleteWnfStateSubscription ntdll.dll!NtMapViewOfSection ntdll.dll!NtNotifyChangeKey ntdll.dll!NtOpenDirectoryObject ntdll.dll!NtOpenEvent ntdll.dll!NtOpenFile ntdll.dll!NtOpenKey ntdll.dll!NtOpenKeyEx ntdll.dll!NtOpenProcess ntdll.dll!NtOpenProcessToken ntdll.dll!NtOpenProcessTokenEx ntdll.dll!NtOpenSection ntdll.dll!NtOpenSemaphore ntdll.dll!NtOpenSymbolicLinkObject ntdll.dll!NtOpenThread ntdll.dll!NtOpenThreadToken ntdll.dll!NtOpenThreadTokenEx ntdll.dll!NtPowerInformation ntdll.dll!NtProtectVirtualMemory ntdll.dll!NtQueryAttributesFile ntdll.dll!NtQueryDebugFilterState ntdll.dll!NtQueryDefaultLocale ntdll.dll!NtQueryDirectoryFileEx ntdll.dll!NtQueryFullAttributesFile ntdll.dll!NtQueryInformationFile ntdll.dll!NtQueryInformationJobObject ntdll.dll!NtQueryInformationProcess ntdll.dll!NtQueryInformationThread ntdll.dll!NtQueryInformationToken ntdll.dll!NtQueryKey ntdll.dll!NtQueryLicenseValue ntdll.dll!NtQueryPerformanceCounter ntdll.dll!NtQuerySecurityAttributesToken ntdll.dll!NtQuerySecurityObject ntdll.dll!NtQuerySymbolicLinkObject ntdll.dll!NtQuerySystemInformation ntdll.dll!NtQuerySystemInformationEx ntdll.dll!NtQueryValueKey ntdll.dll!NtQueryVirtualMemory ntdll.dll!NtQueryVolumeInformationFile ntdll.dll!NtQueryWnfStateData ntdll.dll!NtQueueApcThread ntdll.dll!NtQueueApcThreadEx2 ntdll.dll!NtReadFile ntdll.dll!NtReadRequestData ntdll.dll!NtReadVirtualMemory ntdll.dll!NtReleaseMutant ntdll.dll!NtReleaseSemaphore ntdll.dll!NtReleaseWorkerFactoryWorker ntdll.dll!NtRequestWaitReplyPort ntdll.dll!NtResumeThread ntdll.dll!NtSetEvent ntdll.dll!NtSetInformationKey ntdll.dll!NtSetInformationProcess ntdll.dll!NtSetInformationThread ntdll.dll!NtSetInformationVirtualMemory ntdll.dll!NtSetInformationWorkerFactory ntdll.dll!NtSetTimer2 ntdll.dll!NtSubscribeWnfStateChange ntdll.dll!NtTestAlert ntdll.dll!NtTraceControl ntdll.dll!NtUnmapViewOfSection ntdll.dll!NtUnmapViewOfSectionEx ntdll.dll!NtUnsubscribeWnfStateChange ntdll.dll!NtWaitForAlertByThreadId 8 additional items are not displayed above.
Encryption Used	BCryptOpenAlgorithmProvider
Process Manipulation Evasion	ReadProcessMemory
Network Winsock2	WSAConnect WSASocket WSAStartup WSAttemptAutodialName
Network Winsock	closesocket freeaddrinfo getaddrinfo recv send setsockopt
Network Winhttp	WinHttpOpen
Network Info Queried	GetAdaptersAddresses GetNetworkParams

EnigmaSoft의 결제 처리업체 Digital River GmbH의 파산 신청은 SpyHunter 고객의 맬웨어 방지 보호에 영향을 미치지 않습니다.

찾다

지역 변경

XWorm RAT

위협 스코어카드

EnigmaSoft 위협 스코어카드

XWorm RAT는 광범위한 민감한 정보를 훔칠 수 있습니다.

XWorm RAT는 침해된 장치에 랜섬웨어 페이로드를 전달하는 데 사용될 수 있습니다.

분석 보고서

일반 정보

Known Samples

Known Samples

Windows Portable Executable Attributes

Windows Portable Executable Attributes

File Icons

File Icons

Windows PE Version Information

Windows PE Version Information

File Traits

Block Information

Block Information

Visual Map

Similar Families

Similar Families

Files Modified

Files Modified

Registry Modifications

Registry Modifications

Windows API Usage

Windows API Usage

의견 제출

트렌드

Axischainedge.com

MegaETH 회원가입 사기

Imorportabless.com

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

'macOS는 이 앱에 맬웨어가 없는지 확인할 수 없습니다' 수정 방법