Multi-License Discount Quote
Banta sa Database Malware XWorm RAT

XWorm RAT

Sa pamamagitan ng Mezo sa Malware, Remote Administration Tools, Mga magnanakaw
Isalin To:

Banta ng Scorecard

Popularity Rank: 4,582
Antas ng Banta: 80 % (Mataas)
Mga Infected na Computer: 353
Unang Nakita: April 24, 2023
Huling nakita: April 8, 2026
Apektado ang (mga) OS: Windows

Ang XWorm malware ay kinilala bilang isang banta mula sa kategoryang Remote Access Trojan (RAT). Ang mga RAT ay partikular na idinisenyo upang paganahin ang hindi awtorisadong pag-access at kontrol sa computer ng biktima ng mga cybercriminal. Sa paggamit ng mga RAT, maaaring malayuang subaybayan at obserbahan ng mga umaatake ang mga aktibidad ng user, kunin ang sensitibong data, at magsagawa ng malawak na hanay ng mga malisyosong operasyon sa nakompromisong system, depende sa kanilang mga partikular na layunin. Ayon sa mga mananaliksik, ang XWorm RAT ay inaalok para ibenta ng mga developer nito sa presyong $400.

Ang XWorm RAT ay Maaaring Magnakaw ng Malawak na Saklaw ng Sensitibong Impormasyon

Ang XWorm RAT ay nagtataglay ng malawak na hanay ng mga kakayahan na ginagawa itong isang napaka sopistikado at mapanganib na banta sa mga kamay ng mga cybercriminal. Ang isa sa mga pangunahing pag-andar nito ay ang kakayahang magnakaw ng mahalagang impormasyon ng system mula sa computer ng biktima nang palihim. Ang RAT ay maaaring magnakaw ng sensitibong data mula sa mga sikat na browser. Maaaring kunin ng XWorm ang mga password, cookies, mga detalye ng credit card, mga bookmark, pag-download, mga keyword, at kasaysayan ng pagba-browse mula sa mga browser ng Chromium. Katulad nito, maaari nitong kunin ang mga password, cookies, bookmark, at kasaysayan mula sa mga browser ng Firefox, na lubos na nakompromiso ang seguridad ng mga online na aktibidad ng biktima.

Bukod dito, ang mga kakayahan ng XWorm ay sumasaklaw sa pag-target ng iba't ibang mga aplikasyon at serbisyo. Maaari itong magnakaw ng data ng session ng Telegram, mga token ng Discord, mga password ng WiFi, data ng Metamask at FileZilla. Bukod pa rito, maaaring ma-access ng XWorm ang Registry Editor, mag-log ng mga keystroke, magpatakbo ng ransomware upang i-encrypt ang mga file at humingi ng ransom, at manipulahin ang data, serbisyo at proseso ng clipboard.

Higit pa sa pagnanakaw ng impormasyon, may kakayahan ang XWorm na magsagawa ng mga file, na nagbibigay ng kapangyarihan sa mga umaatake na magpatakbo ng iba't ibang malisyosong programa at payload sa nakompromisong sistema. Bilang karagdagan, ang Trojan ay maaaring makakuha ng hindi awtorisadong pag-access sa webcam at mikropono ng biktima, na nagpapakita ng isang makabuluhang pagsalakay sa privacy at nagpapahintulot sa mga umaatake na subaybayan ang mga aktibidad ng biktima. Mas lumalawak ang abot ng XWorm dahil maaari itong magbukas ng mga URL, magsagawa ng mga shell command, at pamahalaan ang mga file, na epektibong nagbibigay ng kumpletong kontrol sa mga umaatake sa computer ng biktima.

Ang mga umaatake ay maaari ring gumamit ng XWorm upang paganahin o huwag paganahin ang mga kritikal na bahagi ng system at mga tampok tulad ng User Account Control (UAC), Registry Editor, Task Manager, Firewall at mga update sa system. Ang kakayahang i-invoke ang Blue Screen of Death (BSoD) ay nagdaragdag ng isa pang layer ng pagkagambala at potensyal na pinsala sa system ng biktima.

Ang XWorm RAT ay Maaaring Gamitin upang Maghatid ng Mga Ransomware Payload sa Mga Nilabag na Device

Ang isang makabuluhang kakayahan ng XWorm ay ang kakayahang magsagawa ng mga pag-atake ng ransomware. Ang Ransomware ay nagbabanta sa software na nag-e-encrypt ng mga file, na ginagawang hindi naa-access ang mga ito nang walang partikular na decryption key. Kasunod nito, ang mga operator ng XWorm ay maaaring humingi ng bayad mula sa biktima bilang kapalit ng pagbibigay ng kinakailangang decryption software upang mabawi ang access sa mga naka-encrypt na file.

Bilang karagdagan, ang XWorm ay naobserbahang ginagamit ng mga cybercriminal para sa pag-hijack ng clipboard. Kasama sa diskarteng ito ang pagsubaybay sa malware at pagharang ng data na kinopya sa clipboard ng biktima, na may partikular na pagtuon sa pagpapalit ng mga address ng cryptocurrency wallet. Halimbawa, kung ang isang biktima ay kumopya ng Bitcoin, Ethereum, o iba pang cryptocurrency wallet address, makikita ng XWorm ang data at papalitan ito ng wallet address na pag-aari ng mga cybercriminal. Dahil dito, hindi sinasadyang ipinadala ng mga biktima ang kanilang mga pondo sa wallet ng mga hacker sa halip na sa address ng nilalayong tatanggap.

Kasama rin sa malawak na hanay ng mga nakakahamak na kakayahan sa XWorm RAT ang isang keylogging functionality. Kasama sa keylogging ang mapaminsalang proseso ng lihim na pagkuha at pagre-record ng lahat ng keyboard input na ginawa ng isang user sa isang nahawaang system. Nangangahulugan ito na ang mga password, kredensyal sa pag-log in, sensitibong mensahe, at iba pang personal na impormasyon ay palihim na itinatala at ipinapadala sa Command and Control server ng umaatake.

 

Pagtatasa ng ulat

Pangkalahatang Impormasyon

Family Name: Keylogger.XWormRAT
Signature status: Self Signed

Known Samples

MD5: 8393544e67726805f0c88ccda151372c
SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037
SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE
Laki ng File: 2.97 MB, 2971648 bytes
MD5: 6c081bbee7b8c0dede2869a2d239d3c3
SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee
SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD
Laki ng File: 11.78 KB, 11776 bytes
MD5: 0ae34e0fa21b649ebfc90052b713682a
SHA1: ce89172965fe3205dc28014db093c5c19a3e1236
SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E
Laki ng File: 55.30 KB, 55296 bytes
MD5: 5d7149ceedf9f6ae4fbe58771daeec84
SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe
SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B
Laki ng File: 44.54 KB, 44544 bytes
MD5: e27820ce232dfe90f0e7eda36614d2d1
SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7
SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805
Laki ng File: 2.07 MB, 2074112 bytes
Show More
MD5: 4489cbaa5dc8e45ad3293280175bda02
SHA1: 6a2f992055737bd58e936c01c86ed965034dce57
SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459
Laki ng File: 265.73 KB, 265728 bytes
MD5: 65d0a7755d74384f5055dd3b6af0cc4d
SHA1: 4c5fc802b2fd21968cd23e8ccf670f047b2d886e
SHA256: 6CCF676F2A8A079838085894C8039408F5E463663AD880A64EEB933A7C927449
Laki ng File: 11.78 KB, 11776 bytes
MD5: 60631806cffc9ef3b048d4d52b06fdb5
SHA1: ab2f4dddb861207328134ed450c90def1b15f638
SHA256: 0957B6708D693848F3C9D4544DE95E044BE691670E83B199157CA87A398BEC49
Laki ng File: 40.96 KB, 40960 bytes
MD5: 7800b8cc29632ba356e56836453e84fa
SHA1: 6b6daa1115657576393bb302ad0abd590f9d7549
SHA256: 51AA320823FE8A588EF618EECE24DC71F7DAE3B4B8A88E5E6C69F2BEA09CAD88
Laki ng File: 2.91 MB, 2908304 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Pangalan Halaga
Assembly Version
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0
Company Name
  • Synaptics
  • www.UnlockClient.co
File Description
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
  • UnlockClient
  • Update
File Version
  • 1.0.0.4
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0
Internal Name
  • construsonhos.cloud3.exe
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
  • UnlockClient.exe
  • Update.dll
Legal Copyright
  • Copyright © 2020
  • Copyright © 2021
  • www.UnlockClient.co
Original Filename
  • construsonhos.cloud3.exe
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
  • UnlockClient.exe
  • Update.dll
Product Name
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
  • UnlockClient
  • Update
Product Version
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0

Digital Signatures

Signer Root Status
UnlockClient.co UnlockClient.co Self Signed

File Traits

  • .NET
  • 00 section
  • 2+ executable sections
  • dll
  • HighEntropy
  • Installer Version
  • NewLateBinding
  • ntdll
  • RijndaelManaged
  • Run
Show More
  • x86

Block Information

Total Blocks: 3
Potentially Malicious Blocks: 0
Whitelisted Blocks: 3
Unknown Blocks: 0

Visual Map

0 0 0
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.BypassUAC.K
  • MSIL.BypassUAC.LC
  • MSIL.BypassUAC.LD
  • MSIL.BypassUAC.P
  • MSIL.Downloader.CAYD
Show More
  • MSIL.Kryptik.AR
  • MSIL.Rozena.GG

Files Modified

File Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296 Generic Write,Read Attributes

Registry Modifications

Key::Value Data API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory %windir%\tracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing RegNtPreCreateKey
Show More
HKLM\software\microsoft\tracing\rasmancs::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory %windir%\tracing RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
  • SetWindowsHookEx
User Data Access
  • GetComputerName
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Anti Debug
  • CheckRemoteDebuggerPresent
  • IsDebuggerPresent
  • NtQuerySystemInformation
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcCreatePortSection
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtPowerInformation
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThread
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId

8 additional items are not displayed above.

Encryption Used
  • BCryptOpenAlgorithmProvider
Process Manipulation Evasion
  • ReadProcessMemory
Network Winsock2
  • WSAConnect
  • WSASocket
  • WSAStartup
  • WSAttemptAutodialName
Network Winsock
  • closesocket
  • freeaddrinfo
  • getaddrinfo
  • recv
  • send
  • setsockopt
Network Winhttp
  • WinHttpOpen
Network Info Queried
  • GetAdaptersAddresses
  • GetNetworkParams

Trending

Pinaka Nanood

Naglo-load...