Rabattoffert för flera licenser
Hotdatabas Skadlig programvara XWorm RAT

XWorm RAT

Med Mezo år Skadlig programvara, Fjärradministrationsverktyg, Stjälare
Översätt till:

Scorekort för hot

Popularity Rank: 4,286
Hotnivå: 80 % (Hög)
Infekterade datorer: 312
Först sett: April 24, 2023
Senast sedd: January 22, 2026
Operativsystem som påverkas: Windows

XWorm malware identifieras som ett hot från kategorin Remote Access Trojan (RAT). RAT:er är speciellt utformade för att möjliggöra obehörig åtkomst och kontroll av ett offers dator av cyberbrottslingar. Med användning av RAT:er kan angripare fjärrövervaka och observera användaraktiviteter, stjäla känslig data och utföra ett brett utbud av skadliga operationer på det komprometterade systemet, beroende på deras specifika mål. Enligt forskare erbjuds XWorm RAT till försäljning av sina utvecklare till ett pris av 400 $.

XWorm RAT kan stjäla ett brett utbud av känslig information

XWorm RAT har ett omfattande utbud av funktioner som gör det till ett mycket sofistikerat och farligt hot i händerna på cyberbrottslingar. En av dess primära funktioner är förmågan att smygande stjäla värdefull systeminformation från offrets dator. RAT kan stjäla känslig data från populära webbläsare. XWorm kan extrahera lösenord, cookies, kreditkortsuppgifter, bokmärken, nedladdningar, nyckelord och webbhistorik från Chromium-webbläsare. På samma sätt kan den stjäla lösenord, cookies, bokmärken och historik från Firefox-webbläsare, vilket i hög grad äventyrar säkerheten för offrets onlineaktiviteter.

Dessutom omfattar XWorms möjligheter att rikta in sig på en mängd olika applikationer och tjänster. Det kan stjäla Telegram-sessionsdata, Discord-tokens, WiFi-lösenord, Metamask och FileZilla-data. Dessutom kan XWorm komma åt registerredigeraren, logga tangenttryckningar, köra ransomware för att kryptera filer och kräva en lösensumma och manipulera urklippsdata, tjänster och processer.

Förutom informationsstöld har XWorm förmågan att köra filer, vilket ger angripare makten att köra olika skadliga program och nyttolaster på det komprometterade systemet. Dessutom kan trojanen få obehörig åtkomst till offrets webbkamera och mikrofon, vilket utgör ett betydande intrång i integriteten och tillåter angripare att övervaka offrets aktiviteter. XWorms räckvidd sträcker sig ännu längre eftersom den kan öppna webbadresser, köra skalkommandon och hantera filer, vilket effektivt ger angripare fullständig kontroll över offrets dator.

Angriparna kan till och med använda XWorm för att aktivera eller inaktivera kritiska systemkomponenter och funktioner som User Account Control (UAC), Registereditor, Task Manager, Brandvägg och systemuppdateringar. Möjligheten att anropa Blue Screen of Death (BSoD) lägger till ytterligare ett lager av störningar och potentiell skada på offrets system.

XWorm RAT kan användas för att leverera ransomware-nyttolaster på de överträdda enheterna

En betydande förmåga hos XWorm är dess förmåga att utföra ransomware-attacker. Ransomware är hotfull programvara som krypterar filer, vilket gör dem otillgängliga utan en specifik dekrypteringsnyckel. Därefter kan XWorms operatörer kräva betalning från offret i utbyte mot att tillhandahålla nödvändig dekrypteringsmjukvara för att återfå tillgång till de krypterade filerna.

Dessutom har XWorm observerats användas av cyberkriminella för kapning av urklipp. Den här tekniken innebär att skadlig programvara övervakar och avlyssnar data som kopierats till ett offers urklipp, med ett specifikt fokus på att ersätta adresser för kryptovaluta-plånbok. Till exempel, om ett offer kopierar en Bitcoin-, Ethereum- eller annan kryptovaluta-plånboksadress, upptäcker XWorm data och ersätter den med en plånboksadress som ägs av cyberkriminella. Följaktligen skickar offer omedvetet sina pengar till hackarnas plånbok istället för den avsedda mottagarens adress.

Det omfattande utbudet av skadliga funktioner som observeras i XWorm RAT inkluderar också en tangentloggningsfunktion. Tangentloggning innebär den skadliga processen att i hemlighet fånga och registrera alla tangentbordsinmatningar som görs av en användare på ett infekterat system. Detta innebär att lösenord, inloggningsuppgifter, känsliga meddelanden och annan personlig information i smyg registreras och överförs till angriparens kommando- och kontrollserver.

Analys rapport

Allmän information

Family Name: Keylogger.XWormRAT
Signature status: No Signature

Known Samples

MD5: 8393544e67726805f0c88ccda151372c
SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037
SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE
Filstorlek: 2.97 MB, 2971648 bytes
MD5: 6c081bbee7b8c0dede2869a2d239d3c3
SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee
SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD
Filstorlek: 11.78 KB, 11776 bytes
MD5: 0ae34e0fa21b649ebfc90052b713682a
SHA1: ce89172965fe3205dc28014db093c5c19a3e1236
SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E
Filstorlek: 55.30 KB, 55296 bytes
MD5: 5d7149ceedf9f6ae4fbe58771daeec84
SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe
SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B
Filstorlek: 44.54 KB, 44544 bytes
MD5: e27820ce232dfe90f0e7eda36614d2d1
SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7
SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805
Filstorlek: 2.07 MB, 2074112 bytes
Show More
MD5: 4489cbaa5dc8e45ad3293280175bda02
SHA1: 6a2f992055737bd58e936c01c86ed965034dce57
SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459
Filstorlek: 265.73 KB, 265728 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Namn Värde
Assembly Version 1.0.0.0
Company Name Synaptics
File Description
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
File Version
  • 1.0.0.4
  • 1.0.0.0
Internal Name
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
Legal Copyright
  • Copyright © 2020
  • Copyright © 2021
Original Filename
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
Product Name
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
Product Version
  • 1.0.0.0

File Traits

  • .NET
  • 00 section
  • 2+ executable sections
  • dll
  • HighEntropy
  • Installer Version
  • NewLateBinding
  • ntdll
  • RijndaelManaged
  • Run
Show More
  • x86

Block Information

Total Blocks: 74
Potentially Malicious Blocks: 41
Whitelisted Blocks: 20
Unknown Blocks: 13

Visual Map

0 x x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? ? x x x ? x x x x x x x x 0 x x x x x ? ? ? ? x ? ? x x x ? ? x x ? x x x ? 0 x x x x x 0 0 x x x x x x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.BypassUAC.K
  • MSIL.BypassUAC.LC
  • MSIL.BypassUAC.P
  • MSIL.Downloader.CAYD
  • MSIL.Rozena.GG

Files Modified

File Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296 Generic Write,Read Attributes

Registry Modifications

Key::Value Data API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory %windir%\tracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing RegNtPreCreateKey
Show More
HKLM\software\microsoft\tracing\rasmancs::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory %windir%\tracing RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
  • SetWindowsHookEx
User Data Access
  • GetComputerName
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Anti Debug
  • CheckRemoteDebuggerPresent
  • IsDebuggerPresent
  • NtQuerySystemInformation
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcCreatePortSection
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtPowerInformation
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThread
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId

8 additional items are not displayed above.

Encryption Used
  • BCryptOpenAlgorithmProvider
Process Manipulation Evasion
  • ReadProcessMemory
Network Winsock2
  • WSAConnect
  • WSASocket
  • WSAStartup
  • WSAttemptAutodialName
Network Winsock
  • closesocket
  • freeaddrinfo
  • getaddrinfo
  • recv
  • send
  • setsockopt
Network Winhttp
  • WinHttpOpen
Network Info Queried
  • GetAdaptersAddresses
  • GetNetworkParams

Trendigt

Mest sedda

Läser in...