Попуст за више лиценци
Тхреат Датабасе Малваре XWorm RAT

XWorm RAT

До Mezo. у Малваре, Алати за удаљену администрацију, Крадљивци
Преведи на:

Тхреат Сцорецард

Popularity Rank: 4,582
Ниво претње: 80 % (Високо)
Заражени рачунари: 353
Први пут виђено: April 24, 2023
Последњи пут виђен: April 8, 2026
ОС на које утиче: Windows

Злонамерни софтвер КСВорм је идентификован као претња из категорије Тројанца за даљински приступ (РАТ). РАТ-ови су посебно дизајнирани да омогуће неовлашћени приступ и контролу рачунара жртве од стране сајбер криминалаца. Уз коришћење РАТ-ова, нападачи могу даљински да надгледају и посматрају активности корисника, краду осетљиве податке и извршавају широк спектар злонамерних операција на компромитованом систему, у зависности од њихових специфичних циљева. Према истраживачима, КСВорм РАТ нуде на продају његови програмери по цени од 400 долара.

КСВорм РАТ може украсти широк спектар осетљивих информација

КСВорм РАТ поседује широку лепезу могућности које га чине веома софистицираном и опасном претњом у рукама сајбер криминалаца. Једна од његових примарних функционалности је могућност крађе вредних системских информација са рачунара жртве. РАТ може да украде осетљиве податке из популарних претраживача. КСВорм може да издвоји лозинке, колачиће, детаље о кредитној картици, обележиваче, преузимања, кључне речи и историју прегледања из Цхромиум прегледача. Слично, може да краде лозинке, колачиће, обележиваче и историју из Фирефок претраживача, што у великој мери угрожава безбедност мрежних активности жртве.

Штавише, КСВорм-ове могућности обухватају циљање разних апликација и услуга. Може да украде податке Телеграм сесије, Дисцорд токене, ВиФи лозинке, Метамаск и ФилеЗилла податке. Поред тога, КСВорм може приступити уређивачу регистра, евидентирати притиске на тастере, покренути рансомваре за шифровање датотека и захтевати откуп, и манипулисати подацима, услугама и процесима међуспремника.

Осим крађе информација, КСВорм има могућност да извршава датотеке, дајући нападачима моћ да покрећу разне злонамерне програме и корисне садржаје на компромитованом систему. Поред тога, тројанац може добити неовлашћени приступ жртвиној веб камери и микрофону, што представља значајну инвазију на приватност и омогућава нападачима да прате активности жртве. Домет КСВорма се проширује још даље јер може да отвара УРЛ адресе, извршава команде љуске и управља датотекама, ефективно дајући нападачима потпуну контролу над рачунаром жртве.

Нападачи могу чак да користе КСВорм да би омогућили или онемогућили критичне системске компоненте и функције као што су контрола корисничког налога (УАЦ), уређивач регистра, менаџер задатака, заштитни зид и ажурирања система. Могућност позивања на Плави екран смрти (БСоД) додаје још један слој поремећаја и потенцијалне штете систему жртве.

КСВорм РАТ би се могао користити за испоруку рансомвера корисних података на оштећеним уређајима

Једна значајна способност КСВорма је његова способност да спроводи нападе рансомваре-а. Рансомваре је претећи софтвер који шифрује датотеке, чинећи их недоступним без специфичног кључа за дешифровање. Након тога, КСВорм-ови оператери могу да захтевају плаћање од жртве у замену за обезбеђивање неопходног софтвера за дешифровање да би поново добили приступ шифрованим датотекама.

Поред тога, примећено је да КСВорм користе сајбер криминалци за отмицу међуспремника. Ова техника укључује праћење малвера и пресретање података копираних у међуспремник жртве, са посебним фокусом на замену адреса новчаника криптовалута. На пример, ако жртва копира адресу новчаника Битцоин, Етхереум или друге криптовалуте, КСВорм детектује податке и замењује их адресом новчаника у власништву сајбер криминалаца. Сходно томе, жртве несвесно шаљу своја средства у новчаник хакера уместо на адресу циљаног примаоца.

Широк спектар злонамерних могућности примећених у КСВорм РАТ-у такође укључује функцију вођења кључева. Кеилоггинг укључује штетан процес тајног хватања и снимања свих уноса са тастатуре које је направио корисник на зараженом систему. То значи да се лозинке, акредитиви за пријаву, осетљиве поруке и други лични подаци потајно снимају и преносе на сервер за команду и контролу нападача.

 

Извештај о анализи

Опште информације

Family Name: Keylogger.XWormRAT
Signature status: Self Signed

Known Samples

МД5: 8393544e67726805f0c88ccda151372c
SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037
SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE
Величина фајла: 2.97 MB, 2971648 bytes
МД5: 6c081bbee7b8c0dede2869a2d239d3c3
SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee
SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD
Величина фајла: 11.78 KB, 11776 bytes
МД5: 0ae34e0fa21b649ebfc90052b713682a
SHA1: ce89172965fe3205dc28014db093c5c19a3e1236
SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E
Величина фајла: 55.30 KB, 55296 bytes
МД5: 5d7149ceedf9f6ae4fbe58771daeec84
SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe
SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B
Величина фајла: 44.54 KB, 44544 bytes
МД5: e27820ce232dfe90f0e7eda36614d2d1
SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7
SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805
Величина фајла: 2.07 MB, 2074112 bytes
Show More
МД5: 4489cbaa5dc8e45ad3293280175bda02
SHA1: 6a2f992055737bd58e936c01c86ed965034dce57
SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459
Величина фајла: 265.73 KB, 265728 bytes
МД5: 65d0a7755d74384f5055dd3b6af0cc4d
SHA1: 4c5fc802b2fd21968cd23e8ccf670f047b2d886e
SHA256: 6CCF676F2A8A079838085894C8039408F5E463663AD880A64EEB933A7C927449
Величина фајла: 11.78 KB, 11776 bytes
МД5: 60631806cffc9ef3b048d4d52b06fdb5
SHA1: ab2f4dddb861207328134ed450c90def1b15f638
SHA256: 0957B6708D693848F3C9D4544DE95E044BE691670E83B199157CA87A398BEC49
Величина фајла: 40.96 KB, 40960 bytes
МД5: 7800b8cc29632ba356e56836453e84fa
SHA1: 6b6daa1115657576393bb302ad0abd590f9d7549
SHA256: 51AA320823FE8A588EF618EECE24DC71F7DAE3B4B8A88E5E6C69F2BEA09CAD88
Величина фајла: 2.91 MB, 2908304 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Име Валуе
Assembly Version
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0
Company Name
  • Synaptics
  • www.UnlockClient.co
File Description
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
  • UnlockClient
  • Update
File Version
  • 1.0.0.4
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0
Internal Name
  • construsonhos.cloud3.exe
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
  • UnlockClient.exe
  • Update.dll
Legal Copyright
  • Copyright © 2020
  • Copyright © 2021
  • www.UnlockClient.co
Original Filename
  • construsonhos.cloud3.exe
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
  • UnlockClient.exe
  • Update.dll
Product Name
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
  • UnlockClient
  • Update
Product Version
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0

Digital Signatures

Signer Root Status
UnlockClient.co UnlockClient.co Self Signed

File Traits

  • .NET
  • 00 section
  • 2+ executable sections
  • dll
  • HighEntropy
  • Installer Version
  • NewLateBinding
  • ntdll
  • RijndaelManaged
  • Run
Show More
  • x86

Block Information

Total Blocks: 3
Potentially Malicious Blocks: 0
Whitelisted Blocks: 3
Unknown Blocks: 0

Visual Map

0 0 0
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.BypassUAC.K
  • MSIL.BypassUAC.LC
  • MSIL.BypassUAC.LD
  • MSIL.BypassUAC.P
  • MSIL.Downloader.CAYD
Show More
  • MSIL.Kryptik.AR
  • MSIL.Rozena.GG

Files Modified

File Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296 Generic Write,Read Attributes

Registry Modifications

Key::Value Подаци API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory %windir%\tracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing RegNtPreCreateKey
Show More
HKLM\software\microsoft\tracing\rasmancs::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory %windir%\tracing RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
  • SetWindowsHookEx
User Data Access
  • GetComputerName
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Anti Debug
  • CheckRemoteDebuggerPresent
  • IsDebuggerPresent
  • NtQuerySystemInformation
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcCreatePortSection
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtPowerInformation
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThread
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId

8 additional items are not displayed above.

Encryption Used
  • BCryptOpenAlgorithmProvider
Process Manipulation Evasion
  • ReadProcessMemory
Network Winsock2
  • WSAConnect
  • WSASocket
  • WSAStartup
  • WSAttemptAutodialName
Network Winsock
  • closesocket
  • freeaddrinfo
  • getaddrinfo
  • recv
  • send
  • setsockopt
Network Winhttp
  • WinHttpOpen
Network Info Queried
  • GetAdaptersAddresses
  • GetNetworkParams

У тренду

Превара са господином Звером на Дискорду

Пецање, Спам
Безбедност на мрежи захтева сталну свест и здрав ниво скептицизма. Сајбер криминалци све више искоришћавају популарне трендове и поуздане личности како би обманули кориснике, а преваре повезане са познатим инфлуенсерима постају све чешће. Превара „Mr Beast Discord“ је јасан пример како нападачи манипулишу поверењем и радозналошћу да би угрозили налоге, украли податке и ширили злонамерни...

Превара путем е-поште „Ваш облак је онемогућен“

Пецање, Спам
Неочекиваним имејловима, посебно онима који изазивају хитност или забринутост, увек треба приступати са опрезом. Сајбер криминалци често прикривају лажне поруке као легитимна обавештења како би преварили примаоце да предузму штетне радње. Важно је нагласити да преваре попут имејлова „Ваш облак је онемогућен“ нису повезане ни са једном легитимном компанијом, организацијом или добављачем услуга....

Најгледанији

Учитавање...