Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa XWorm RAT

XWorm RAT

Autorius Mezo, Kenkėjiška programa, Nuotolinio administravimo įrankiai, Vogtininkai
Versti į:

Grėsmių rezultatų kortelė

Popularity Rank: 4,286
Grėsmės lygis: 80 % (Aukštas)
Užkrėsti kompiuteriai: 312
Pirmą kartą pamatytas: April 24, 2023
Paskutinį kartą matytas: January 22, 2026
Paveikta (-os) OS: Windows

Kenkėjiška programa XWorm nustatyta kaip grėsmė iš nuotolinės prieigos Trojos arklys (RAT). RAT yra specialiai sukurti taip, kad kibernetiniai nusikaltėliai galėtų neteisėtai pasiekti aukos kompiuterį ir jį valdyti. Naudodami RAT, užpuolikai gali nuotoliniu būdu stebėti ir stebėti naudotojų veiklą, pasisavinti neskelbtinus duomenis ir vykdyti daugybę kenkėjiškų operacijų pažeistoje sistemoje, atsižvelgdami į konkrečius savo tikslus. Tyrėjų teigimu, XWorm RAT kūrėjai siūlo parduoti už 400 USD kainą.

XWorm RAT gali pavogti daugybę jautrios informacijos

„XWorm RAT“ turi daugybę galimybių, todėl kibernetinių nusikaltėlių rankose jis yra labai sudėtinga ir pavojinga grėsmė. Viena iš pagrindinių jos funkcijų yra galimybė vogti vertingą sistemos informaciją iš aukos kompiuterio. RAT gali pavogti slaptus duomenis iš populiarių naršyklių. „XWorm“ gali iš „Chromium“ naršyklių išgauti slaptažodžius, slapukus, kredito kortelių informaciją, žymes, atsisiuntimus, raktinius žodžius ir naršymo istoriją. Panašiai jis gali pavogti slaptažodžius, slapukus, žymes ir istoriją iš „Firefox“ naršyklių, labai pakenkdamas aukos internetinės veiklos saugumui.

Be to, XWorm galimybės apima taikymą įvairioms programoms ir paslaugoms. Jis gali pavogti Telegram seanso duomenis, Discord žetonus, WiFi slaptažodžius, Metamask ir FileZilla duomenis. Be to, XWorm gali pasiekti registro rengyklę, registruoti klavišų paspaudimus, paleisti išpirkos reikalaujančią programinę įrangą, kad užšifruotų failus ir reikalauti išpirkos, bei manipuliuoti mainų srities duomenimis, paslaugomis ir procesais.

Be informacijos vagystės, XWorm turi galimybę vykdyti failus, suteikdamas užpuolikams galią paleisti įvairias kenkėjiškas programas ir naudingus krovinius pažeistoje sistemoje. Be to, Trojos arklys gali gauti neteisėtą prieigą prie aukos internetinės kameros ir mikrofono, taip smarkiai pažeidžiant privatumą ir leidžiant užpuolikams stebėti aukos veiklą. XWorm pasiekiamumas dar labiau išplečiamas, nes jis gali atidaryti URL, vykdyti apvalkalo komandas ir tvarkyti failus, todėl užpuolikai gali visiškai valdyti aukos kompiuterį.

Užpuolikai netgi gali naudoti „XWorm“, kad įjungtų arba išjungtų svarbius sistemos komponentus ir funkcijas, tokias kaip vartotojo abonemento valdymas (UAC), registro rengyklė, užduočių tvarkyklė, ugniasienė ir sistemos naujinimai. Galimybė iškviesti „Blue Screen of Death“ (BSoD) prideda dar vieną trikdžių ir galimos žalos aukos sistemai sluoksnį.

„XWorm RAT“ gali būti naudojamas „ransomware“ naudingosioms apkrovoms perduoti pažeistuose įrenginiuose

Viena reikšmingų XWorm savybių yra jos gebėjimas vykdyti išpirkos reikalaujančių programų atakas. Ransomware kelia grėsmę programinei įrangai, kuri užšifruoja failus, todėl jie tampa nepasiekiami be konkretaus iššifravimo rakto. Vėliau „XWorm“ operatoriai gali pareikalauti iš aukos sumokėti už tai, kad jie pateiktų reikiamą iššifravimo programinę įrangą, kad atgautų prieigą prie užšifruotų failų.

Be to, buvo pastebėta, kad XWorm kibernetiniai nusikaltėliai naudojasi mainų srities užgrobimui. Ši technika apima kenkėjiškų programų stebėjimą ir duomenų, nukopijuotų į aukos mainų sritį, perėmimą, ypatingą dėmesį skiriant kriptovaliutų piniginės adresų pakeitimui. Pavyzdžiui, jei auka nukopijuoja Bitcoin, Ethereum ar kitos kriptovaliutos piniginės adresą, XWorm aptinka duomenis ir pakeičia juos kibernetiniams nusikaltėliams priklausančiu piniginės adresu. Todėl aukos nesąmoningai siunčia savo lėšas į įsilaužėlių piniginę, o ne į numatytą gavėjo adresą.

Platus kenkėjiškų galimybių spektras, pastebėtas XWorm RAT, taip pat apima klaviatūros registravimo funkciją. Klavišų registravimas apima žalingą procesą, kai slaptai fiksuojami ir įrašomi visi užkrėstos sistemos naudotojo klaviatūros įvestis. Tai reiškia, kad slaptažodžiai, prisijungimo kredencialai, slapti pranešimai ir kita asmeninė informacija yra slapta įrašomi ir perduodami į užpuoliko komandų ir valdymo serverį.

Analizės ataskaita

Bendra informacija

Family Name: Keylogger.XWormRAT
Signature status: No Signature

Known Samples

MD5: 8393544e67726805f0c88ccda151372c
SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037
SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE
Failo dydis: 2.97 MB, 2971648 bytes
MD5: 6c081bbee7b8c0dede2869a2d239d3c3
SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee
SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD
Failo dydis: 11.78 KB, 11776 bytes
MD5: 0ae34e0fa21b649ebfc90052b713682a
SHA1: ce89172965fe3205dc28014db093c5c19a3e1236
SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E
Failo dydis: 55.30 KB, 55296 bytes
MD5: 5d7149ceedf9f6ae4fbe58771daeec84
SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe
SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B
Failo dydis: 44.54 KB, 44544 bytes
MD5: e27820ce232dfe90f0e7eda36614d2d1
SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7
SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805
Failo dydis: 2.07 MB, 2074112 bytes
Show More
MD5: 4489cbaa5dc8e45ad3293280175bda02
SHA1: 6a2f992055737bd58e936c01c86ed965034dce57
SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459
Failo dydis: 265.73 KB, 265728 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Vardas Vertė
Assembly Version 1.0.0.0
Company Name Synaptics
File Description
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
File Version
  • 1.0.0.4
  • 1.0.0.0
Internal Name
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
Legal Copyright
  • Copyright © 2020
  • Copyright © 2021
Original Filename
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
Product Name
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
Product Version
  • 1.0.0.0

File Traits

  • .NET
  • 00 section
  • 2+ executable sections
  • dll
  • HighEntropy
  • Installer Version
  • NewLateBinding
  • ntdll
  • RijndaelManaged
  • Run
Show More
  • x86

Block Information

Total Blocks: 74
Potentially Malicious Blocks: 41
Whitelisted Blocks: 20
Unknown Blocks: 13

Visual Map

0 x x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? ? x x x ? x x x x x x x x 0 x x x x x ? ? ? ? x ? ? x x x ? ? x x ? x x x ? 0 x x x x x 0 0 x x x x x x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.BypassUAC.K
  • MSIL.BypassUAC.LC
  • MSIL.BypassUAC.P
  • MSIL.Downloader.CAYD
  • MSIL.Rozena.GG

Files Modified

File Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296 Generic Write,Read Attributes

Registry Modifications

Key::Value Duomenys API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory %windir%\tracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing RegNtPreCreateKey
Show More
HKLM\software\microsoft\tracing\rasmancs::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory %windir%\tracing RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
  • SetWindowsHookEx
User Data Access
  • GetComputerName
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Anti Debug
  • CheckRemoteDebuggerPresent
  • IsDebuggerPresent
  • NtQuerySystemInformation
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcCreatePortSection
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtPowerInformation
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThread
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId

8 additional items are not displayed above.

Encryption Used
  • BCryptOpenAlgorithmProvider
Process Manipulation Evasion
  • ReadProcessMemory
Network Winsock2
  • WSAConnect
  • WSASocket
  • WSAStartup
  • WSAttemptAutodialName
Network Winsock
  • closesocket
  • freeaddrinfo
  • getaddrinfo
  • recv
  • send
  • setsockopt
Network Winhttp
  • WinHttpOpen
Network Info Queried
  • GetAdaptersAddresses
  • GetNetworkParams

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
28,544
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...