多许可证折扣报价
威胁数据库 恶意软件 XWorm RAT

XWorm RAT

通过Mezo恶意软件, 远程管理工具, 窃贼
翻译为:

威胁评分卡

Popularity Rank: 4,286
威胁级别: 80 % (高的)
受感染的计算机: 312
初见: April 24, 2023
最后一次露面: January 22, 2026
受影响的操作系统: Windows

XWorm 恶意软件被识别为远程访问木马 (RAT) 类别的威胁。 RAT 专门设计用于网络犯罪分子对受害者计算机进行未经授权的访问和控制。通过使用 RAT,攻击者可以远程监控和观察用户活动、窃取敏感数据,并根据其具体目标在受感染的系统上执行各种恶意操作。据研究人员称,XWorm RAT 的开发商以 400 美元的价格出售。

XWorm RAT 可以窃取广泛的敏感信息

XWorm RAT 拥有广泛的功能,使其成为网络犯罪分子手中高度复杂且危险的威胁。其主要功能之一是能够从受害者的计算机上秘密窃取有价值的系统信息。 RAT 可以从流行浏览器窃取敏感数据。 XWorm 可以从 Chromium 浏览器中提取密码、cookie、信用卡详细信息、书签、下载、关键字和浏览历史记录。同样,它可以窃取 Firefox 浏览器的密码、cookie、书签和历史记录,极大地损害受害者在线活动的安全。

此外,XWorm 的功能涵盖针对各种应用程序和服务。它可以窃取 Telegram 会话数据、Discord 令牌、WiFi 密码、Metamask 和 FileZilla 数据。此外,XWorm 还可以访问注册表编辑器、记录击键、运行勒索软件来加密文件并索要赎金,以及操纵剪贴板数据、服务和进程。

除了信息盗窃之外,XWorm 还具有执行文件的能力,使攻击者能够在受感染的系统上运行各种恶意程序和有效负载。此外,该特洛伊木马还可以未经授权访问受害者的网络摄像头和麦克风,从而严重侵犯隐私并允许攻击者监视受害者的活动。 XWorm 的影响范围进一步扩大,因为它可以打开 URL、执行 shell 命令和管理文件,从而有效地让攻击者完全控制受害者的计算机。

攻击者甚至可以使用 XWorm 启用或禁用关键系统组件和功能,例如用户帐户控制 (UAC)、注册表编辑器、任务管理器、防火墙和系统更新。调用蓝屏死机 (BSoD) 的能力给受害者的系统增加了另一层破坏和潜在损害。

XWorm RAT 可用于在被破坏的设备上传递勒索软件有效负载

XWorm 的一项重要功能是其进行勒索软件攻击的能力。勒索软件正在威胁加密文件的软件,使文件在没有特定解密密钥的情况下无法访问。随后,XWorm 的运营商可以要求受害者付款,以换取受害者提供必要的解密软件以重新获得对加密文件的访问权限。

此外,据观察,网络犯罪分子利用 XWorm 进行剪贴板劫持。该技术涉及恶意软件监控和拦截复制到受害者剪贴板的数据,特别关注替换加密货币钱包地址。例如,如果受害者复制比特币、以太坊或其他加密货币钱包地址,XWorm 会检测到该数据并将其替换为网络犯罪分子拥有的钱包地址。因此,受害者无意中将资金发送到黑客的钱包,而不是预期的收件人地址。

XWorm RAT 中观察到的广泛恶意功能还包括键盘记录功能。键盘记录涉及秘密捕获和记录用户在受感染系统上进行的所有键盘输入的有害过程。这意味着密码、登录凭据、敏感消息和其他个人信息会被秘密记录并传输到攻击者的命令和控制服务器。

 

分析报告

一般信息

Family Name: Keylogger.XWormRAT
Signature status: No Signature

Known Samples

MD5: 8393544e67726805f0c88ccda151372c
SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037
SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE
文件大小: 2.97 MB, 2971648 bytes
MD5: 6c081bbee7b8c0dede2869a2d239d3c3
SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee
SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD
文件大小: 11.78 KB, 11776 bytes
MD5: 0ae34e0fa21b649ebfc90052b713682a
SHA1: ce89172965fe3205dc28014db093c5c19a3e1236
SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E
文件大小: 55.30 KB, 55296 bytes
MD5: 5d7149ceedf9f6ae4fbe58771daeec84
SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe
SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B
文件大小: 44.54 KB, 44544 bytes
MD5: e27820ce232dfe90f0e7eda36614d2d1
SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7
SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805
文件大小: 2.07 MB, 2074112 bytes
Show More
MD5: 4489cbaa5dc8e45ad3293280175bda02
SHA1: 6a2f992055737bd58e936c01c86ed965034dce57
SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459
文件大小: 265.73 KB, 265728 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

姓名 价值
Assembly Version 1.0.0.0
Company Name Synaptics
File Description
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
File Version
  • 1.0.0.4
  • 1.0.0.0
Internal Name
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
Legal Copyright
  • Copyright © 2020
  • Copyright © 2021
Original Filename
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
Product Name
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
Product Version
  • 1.0.0.0

File Traits

  • .NET
  • 00 section
  • 2+ executable sections
  • dll
  • HighEntropy
  • Installer Version
  • NewLateBinding
  • ntdll
  • RijndaelManaged
  • Run
Show More
  • x86

Block Information

Total Blocks: 74
Potentially Malicious Blocks: 41
Whitelisted Blocks: 20
Unknown Blocks: 13

Visual Map

0 x x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? ? x x x ? x x x x x x x x 0 x x x x x ? ? ? ? x ? ? x x x ? ? x x ? x x x ? 0 x x x x x 0 0 x x x x x x x x x
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.BypassUAC.K
  • MSIL.BypassUAC.LC
  • MSIL.BypassUAC.P
  • MSIL.Downloader.CAYD
  • MSIL.Rozena.GG

Files Modified

File Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296 Generic Write,Read Attributes

Registry Modifications

Key::Value 数据 API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory %windir%\tracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing RegNtPreCreateKey
Show More
HKLM\software\microsoft\tracing\rasmancs::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory %windir%\tracing RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
  • SetWindowsHookEx
User Data Access
  • GetComputerName
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Anti Debug
  • CheckRemoteDebuggerPresent
  • IsDebuggerPresent
  • NtQuerySystemInformation
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcCreatePortSection
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtPowerInformation
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThread
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId

8 additional items are not displayed above.

Encryption Used
  • BCryptOpenAlgorithmProvider
Process Manipulation Evasion
  • ReadProcessMemory
Network Winsock2
  • WSAConnect
  • WSASocket
  • WSAStartup
  • WSAttemptAutodialName
Network Winsock
  • closesocket
  • freeaddrinfo
  • getaddrinfo
  • recv
  • send
  • setsockopt
Network Winhttp
  • WinHttpOpen
Network Info Queried
  • GetAdaptersAddresses
  • GetNetworkParams

趋势

Axischainedge.com

恶意网站, 广告软件, 浏览器劫持者
上网时保持高度警惕至关重要。一些恶意网站会利用用户的注意力不集中和好奇心,常常采用欺骗手段,例如伪造验证码,诱使用户点击“允许”按钮。一旦点击,用户就会在不知不觉中订阅推送通知。这些通知中的广告可疑,切勿点击,因为它们可能使用户面临严重风险,包括恶意网站、网络诈骗,以及传播潜在有害程序、广告软件、浏览器劫持程序或其他更严重威胁的平台。 Axischainedge.com 概览...

MegaETH注册骗局

恶意网站
上网时保持谨慎已不再是可选项,而是至关重要的。网络犯罪分子不断开发新的欺骗手段,他们常常将恶意网站伪装成合法平台。一次不经意的点击或冲动地连接数字钱包都可能导致无法挽回的经济损失。最近被证实的“MegaETH注册”骗局就是一个典型的例子,它充分展现了诈骗分子如何以极具迷惑性的方式模仿真实的区块链项目,从而利用毫无戒心的用户。 MegaETH注册骗局概述 对网站 mega-early.com...

Imorportabless.com

恶意网站, 广告软件, 浏览器劫持者
网络安全从未如此重要。用户每天都会遇到无数的网站、广告和弹窗,其中许多并非旨在提供信息,而是为了欺骗用户。尤其是一些恶意网站,会利用用户的好奇心、急躁心理和信任心理,通过操纵手段诱使用户启用有害的浏览器功能。其中一种最常见的滥用手段是伪造的验证码(CAPTCHA)检查,它会诱导用户点击“允许”按钮,从而在不知不觉中订阅侵入式推送通知。通过此类手段投放的广告非常可疑,切勿与之互动,因为它们可能...

最受关注

如何修复“打印机驱动程序不可用”错误

问题
44,328
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
34,138
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...
正在加载...