Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra XWorm RAT

XWorm RAT

Līdz Mezo. gadam Ļaunprātīga programmatūra, Attālās administrēšanas rīki, Zagļi. gadā
Tulkot uz:

Draudu rādītāju karte

Popularity Rank: 4,286
Draudu līmenis: 80 % (Augsts)
Inficētie datori: 312
Pirmo reizi redzēts: April 24, 2023
Pēdējo reizi redzēts: January 22, 2026
Ietekmētā(s) OS(-es): Windows

Ļaunprātīga programmatūra XWorm ir identificēta kā attālās piekļuves Trojas (RAT) kategorijas draudi. RAT ir īpaši izstrādāti, lai ļautu kibernoziedzniekiem nesankcionēti piekļūt upura datoram un kontrolēt to. Izmantojot RAT, uzbrucēji var attālināti uzraudzīt un novērot lietotāju darbības, zagt sensitīvus datus un veikt plašu ļaunprātīgu darbību klāstu apdraudētajā sistēmā atkarībā no saviem konkrētajiem mērķiem. Pēc pētnieku domām, XWorm RAT tā izstrādātāji piedāvā pārdošanai par cenu 400 USD.

XWorm RAT var nozagt plašu sensitīvas informācijas klāstu

XWorm RAT ir plašs iespēju klāsts, kas padara to par ļoti sarežģītu un bīstamu draudu kibernoziedznieku rokās. Viena no tās galvenajām funkcijām ir iespēja slepeni nozagt vērtīgu sistēmas informāciju no upura datora. RAT var nozagt sensitīvus datus no populārām pārlūkprogrammām. XWorm var iegūt paroles, sīkfailus, kredītkaršu informāciju, grāmatzīmes, lejupielādes, atslēgvārdus un pārlūkošanas vēsturi no Chromium pārlūkprogrammām. Tāpat tas var nozagt paroles, sīkfailus, grāmatzīmes un vēsturi no pārlūkprogrammām Firefox, ievērojami apdraudot upura tiešsaistes darbību drošību.

Turklāt XWorm iespējas ietver mērķēšanu uz dažādām lietojumprogrammām un pakalpojumiem. Tas var nozagt Telegram sesijas datus, Discord marķierus, WiFi paroles, Metamask un FileZilla datus. Turklāt XWorm var piekļūt reģistra redaktoram, reģistrēt taustiņsitienus, palaist izpirkuma programmatūru, lai šifrētu failus un pieprasītu izpirkuma maksu, kā arī manipulēt ar starpliktuves datiem, pakalpojumiem un procesiem.

Papildus informācijas zādzībām XWorm spēj izpildīt failus, dodot uzbrucējiem tiesības palaist dažādas ļaunprātīgas programmas un lietderīgās slodzes apdraudētajā sistēmā. Turklāt Trojas zirgs var iegūt nesankcionētu piekļuvi upura tīmekļa kamerai un mikrofonam, radot būtisku privātuma iejaukšanos un ļaujot uzbrucējiem pārraudzīt upura darbības. XWorm sasniedzamība ir vēl lielāka, jo tā var atvērt vietrāžus URL, izpildīt čaulas komandas un pārvaldīt failus, efektīvi nodrošinot uzbrucējiem pilnīgu kontroli pār upura datoru.

Uzbrucēji pat var izmantot XWorm, lai iespējotu vai atspējotu kritiskos sistēmas komponentus un līdzekļus, piemēram, lietotāja konta kontroli (UAC), reģistra redaktoru, uzdevumu pārvaldnieku, ugunsmūri un sistēmas atjauninājumus. Iespēja izsaukt Blue Screen of Death (BSoD) rada vēl vienu traucējumu un potenciālu bojājumu upura sistēmai.

XWorm RAT varētu izmantot, lai piegādātu Ransomware lietderīgās slodzes bojātajās ierīcēs

Viena no nozīmīgajām XWorm iespējām ir tā spēja veikt izspiedējvīrusu uzbrukumus. Ransomware apdraud programmatūru, kas šifrē failus, padarot tos nepieejamus bez īpašas atšifrēšanas atslēgas. Pēc tam XWorm operatori var pieprasīt samaksu no upura apmaiņā pret nepieciešamās atšifrēšanas programmatūras nodrošināšanu, lai atgūtu piekļuvi šifrētajiem failiem.

Turklāt ir novērots, ka kibernoziedznieki izmanto XWorm starpliktuves nolaupīšanai. Šis paņēmiens ietver ļaunprātīgas programmatūras uzraudzību un upura starpliktuvē kopētu datu pārtveršanu, īpašu uzmanību pievēršot kriptovalūtas maka adrešu aizstāšanai. Piemēram, ja upuris kopē Bitcoin, Ethereum vai citas kriptovalūtas maka adresi, XWorm atklāj datus un aizstāj tos ar maka adresi, kas pieder kibernoziedzniekiem. Līdz ar to upuri neapzināti nosūta savus līdzekļus uz hakeru maciņu, nevis uz paredzēto saņēmēja adresi.

Plašais ļaunprātīgo iespēju klāsts, kas novērots XWorm RAT, ietver arī taustiņu reģistrēšanas funkcionalitāti. Taustiņu reģistrēšana ietver kaitīgu procesu, kurā tiek slepeni tverti un ierakstīti visi tastatūras ievadi, ko lietotājs veicis inficētā sistēmā. Tas nozīmē, ka paroles, pieteikšanās akreditācijas dati, sensitīvi ziņojumi un cita personiskā informācija tiek slepus ierakstīti un pārsūtīti uz uzbrucēja komandu un kontroles serveri.

Analīzes ziņojums

Galvenā informācija

Family Name: Keylogger.XWormRAT
Signature status: No Signature

Known Samples

MD5: 8393544e67726805f0c88ccda151372c
SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037
SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE
Faila lielums: 2.97 MB, 2971648 bytes
MD5: 6c081bbee7b8c0dede2869a2d239d3c3
SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee
SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD
Faila lielums: 11.78 KB, 11776 bytes
MD5: 0ae34e0fa21b649ebfc90052b713682a
SHA1: ce89172965fe3205dc28014db093c5c19a3e1236
SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E
Faila lielums: 55.30 KB, 55296 bytes
MD5: 5d7149ceedf9f6ae4fbe58771daeec84
SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe
SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B
Faila lielums: 44.54 KB, 44544 bytes
MD5: e27820ce232dfe90f0e7eda36614d2d1
SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7
SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805
Faila lielums: 2.07 MB, 2074112 bytes
Show More
MD5: 4489cbaa5dc8e45ad3293280175bda02
SHA1: 6a2f992055737bd58e936c01c86ed965034dce57
SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459
Faila lielums: 265.73 KB, 265728 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Vārds Vērtība
Assembly Version 1.0.0.0
Company Name Synaptics
File Description
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
File Version
  • 1.0.0.4
  • 1.0.0.0
Internal Name
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
Legal Copyright
  • Copyright © 2020
  • Copyright © 2021
Original Filename
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
Product Name
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
Product Version
  • 1.0.0.0

File Traits

  • .NET
  • 00 section
  • 2+ executable sections
  • dll
  • HighEntropy
  • Installer Version
  • NewLateBinding
  • ntdll
  • RijndaelManaged
  • Run
Show More
  • x86

Block Information

Total Blocks: 74
Potentially Malicious Blocks: 41
Whitelisted Blocks: 20
Unknown Blocks: 13

Visual Map

0 x x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? ? x x x ? x x x x x x x x 0 x x x x x ? ? ? ? x ? ? x x x ? ? x x ? x x x ? 0 x x x x x 0 0 x x x x x x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.BypassUAC.K
  • MSIL.BypassUAC.LC
  • MSIL.BypassUAC.P
  • MSIL.Downloader.CAYD
  • MSIL.Rozena.GG

Files Modified

File Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296 Generic Write,Read Attributes

Registry Modifications

Key::Value Dati API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory %windir%\tracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing RegNtPreCreateKey
Show More
HKLM\software\microsoft\tracing\rasmancs::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory %windir%\tracing RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
  • SetWindowsHookEx
User Data Access
  • GetComputerName
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Anti Debug
  • CheckRemoteDebuggerPresent
  • IsDebuggerPresent
  • NtQuerySystemInformation
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcCreatePortSection
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtPowerInformation
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThread
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId

8 additional items are not displayed above.

Encryption Used
  • BCryptOpenAlgorithmProvider
Process Manipulation Evasion
  • ReadProcessMemory
Network Winsock2
  • WSAConnect
  • WSASocket
  • WSAStartup
  • WSAttemptAutodialName
Network Winsock
  • closesocket
  • freeaddrinfo
  • getaddrinfo
  • recv
  • send
  • setsockopt
Network Winhttp
  • WinHttpOpen
Network Info Queried
  • GetAdaptersAddresses
  • GetNetworkParams

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
28,544
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...