複数ライセンス割引見積
脅威データベース マルウェア XWorm RAT

XWorm RAT

マルウェア, リモート管理ツール, スティーラーズMezoまで
翻訳内容:

脅威スコアカード

Popularity Rank: 4,582
脅威レベル: 80 % (高い)
感染したコンピューター: 353
最初に見た: April 24, 2023
最後に見たのは: April 8, 2026
影響を受けるOS: Windows

XWorm マルウェアは、リモート アクセス トロイの木馬 (RAT) カテゴリの脅威として識別されます。 RAT は、サイバー犯罪者による被害者のコンピュータへの不正アクセスと制御を可能にするように特別に設計されています。 RAT を使用すると、攻撃者は、特定の目的に応じて、ユーザーのアクティビティをリモートで監視および観察し、機密データを窃取し、侵害されたシステム上で幅広い悪意のある操作を実行することができます。研究者らによると、XWorm RAT は開発者によって 400 ドルの価格で販売されています。

XWorm RAT は広範囲の機密情報を盗む可能性がある

XWorm RAT は、サイバー犯罪者にとって非常に洗練された危険な脅威となる広範な機能を備えています。その主な機能の 1 つは、被害者のコンピュータから貴重なシステム情報をこっそり盗む機能です。 RAT は、一般的なブラウザから機密データを盗む可能性があります。 XWorm は、Chromium ブラウザからパスワード、Cookie、クレジット カードの詳細、ブックマーク、ダウンロード、キーワード、閲覧履歴を抽出できます。同様に、Firefox ブラウザからパスワード、Cookie、ブックマーク、履歴を盗み、被害者のオンライン活動のセキュリティを大きく損なう可能性があります。

さらに、XWorm の機能には、さまざまなアプリケーションやサービスをターゲットにすることが含まれます。 Telegram セッション データ、Discord トークン、WiFi パスワード、Metamask、FileZilla データを盗む可能性があります。さらに、XWorm はレジストリ エディターにアクセスし、キーストロークを記録し、ランサムウェアを実行してファイルを暗号化して身代金を要求し、クリップボードのデータ、サービス、プロセスを操作することができます。

XWorm には情報の盗難以外にもファイルを実行する機能があり、侵害されたシステム上でさまざまな悪意のあるプログラムやペイロードを実行する権限を攻撃者に与えます。さらに、このトロイの木馬は被害者の Web カメラやマイクに不正にアクセスし、重大なプライバシーの侵害を引き起こし、攻撃者が被害者の活動を監視できるようにする可能性があります。 XWorm の攻撃範囲はさらに広がり、URL を開いたり、シェル コマンドを実行したり、ファイルを管理したりできるため、攻撃者は被害者のコンピュータを完全に制御できるようになります。

攻撃者は XWorm を使用して、ユーザー アカウント制御 (UAC)、レジストリ エディタ、タスク マネージャー、ファイアウォール、システム アップデートなどの重要なシステム コンポーネントや機能を有効または無効にすることもできます。ブルー スクリーン オブ デス (BSoD) を呼び出す機能により、被害者のシステムにさらなる混乱と潜在的な損害が追加されます。

XWorm RAT は侵害されたデバイスにランサムウェア ペイロードを配信するために使用される可能性がある

XWorm の重要な機能の 1 つは、ランサムウェア攻撃を実行する機能です。ランサムウェアは、ファイルを暗号化し、特定の復号キーがなければファイルにアクセスできないようにするソフトウェアを脅かすものです。その後、XWorm のオペレーターは、暗号化されたファイルへのアクセスを取り戻すために必要な復号ソフトウェアを提供する代わりに、被害者に支払いを要求する可能性があります。

さらに、XWorm はサイバー犯罪者によってクリップボード ハイジャックに利用されていることが観察されています。この手法には、マルウェアによる監視と被害者のクリップボードにコピーされたデータの傍受が含まれており、特に仮想通貨ウォレットのアドレスの置き換えに重点が置かれています。たとえば、被害者がビットコイン、イーサリアム、またはその他の暗号通貨のウォレット アドレスをコピーすると、XWorm がデータを検出し、サイバー犯罪者が所有するウォレット アドレスに置き換えます。その結果、被害者は意図せずに、意図した受信者のアドレスではなく、ハッカーのウォレットに資金を送金してしまいます。

XWorm RAT で観察される広範囲にわたる悪意のある機能には、キーロギング機能も含まれています。キーロギングには、感染したシステム上でユーザーが行ったすべてのキーボード入力を秘密裏にキャプチャして記録する有害なプロセスが含まれます。これは、パスワード、ログイン資格情報、機密メッセージ、その他の個人情報が密かに記録され、攻撃者の指揮統制サーバーに送信されることを意味します。

分析レポート

一般情報

Family Name: Keylogger.XWormRAT
Signature status: Self Signed

Known Samples

MD5: 8393544e67726805f0c88ccda151372c
SHA1: 2e161a4086a183403597d0a6b0ae9ea0c9d19037
SHA256: 36D605F10AE3233010B4BE32CF6B75501B3D332C95CF56E54001FD8C7A8389CE
ファイルサイズ: 2.97 MB, 2971648 bytes
MD5: 6c081bbee7b8c0dede2869a2d239d3c3
SHA1: 53c9351e354d5466b49786b2b6afafee30d822ee
SHA256: 9114C4BDC17A52B091638AE86A2D788EDA113CDC94925B3343A483F2EFC396BD
ファイルサイズ: 11.78 KB, 11776 bytes
MD5: 0ae34e0fa21b649ebfc90052b713682a
SHA1: ce89172965fe3205dc28014db093c5c19a3e1236
SHA256: 2A0EA0B7D49FF3D309AB51EC94B06C7370EFC5D7AA5200F05D130F27EEC9762E
ファイルサイズ: 55.30 KB, 55296 bytes
MD5: 5d7149ceedf9f6ae4fbe58771daeec84
SHA1: 4ed9ef1ed31a9dda24b488f10a0799003a1ab0fe
SHA256: 7334C22939E917D6D9E4B3F849F07F7FA6D34D9787692B3DCA06145B3D7EBF4B
ファイルサイズ: 44.54 KB, 44544 bytes
MD5: e27820ce232dfe90f0e7eda36614d2d1
SHA1: 46523ea3b60c6987d20b0751296b7d3de874e6d7
SHA256: 1FC75F0B36B7DF183678BE72F3B225ACC04A5B450D67D2E1AF42DEE53A243805
ファイルサイズ: 2.07 MB, 2074112 bytes
Show More
MD5: 4489cbaa5dc8e45ad3293280175bda02
SHA1: 6a2f992055737bd58e936c01c86ed965034dce57
SHA256: D95B28A388740E01832E83FCCFB6EB8B07188C36FFDCC5D73FA9D00754946459
ファイルサイズ: 265.73 KB, 265728 bytes
MD5: 65d0a7755d74384f5055dd3b6af0cc4d
SHA1: 4c5fc802b2fd21968cd23e8ccf670f047b2d886e
SHA256: 6CCF676F2A8A079838085894C8039408F5E463663AD880A64EEB933A7C927449
ファイルサイズ: 11.78 KB, 11776 bytes
MD5: 60631806cffc9ef3b048d4d52b06fdb5
SHA1: ab2f4dddb861207328134ed450c90def1b15f638
SHA256: 0957B6708D693848F3C9D4544DE95E044BE691670E83B199157CA87A398BEC49
ファイルサイズ: 40.96 KB, 40960 bytes
MD5: 7800b8cc29632ba356e56836453e84fa
SHA1: 6b6daa1115657576393bb302ad0abd590f9d7549
SHA256: 51AA320823FE8A588EF618EECE24DC71F7DAE3B4B8A88E5E6C69F2BEA09CAD88
ファイルサイズ: 2.91 MB, 2908304 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

ネーム 価値
Assembly Version
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0
Company Name
  • Synaptics
  • www.UnlockClient.co
File Description
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
  • UnlockClient
  • Update
File Version
  • 1.0.0.4
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0
Internal Name
  • construsonhos.cloud3.exe
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
  • UnlockClient.exe
  • Update.dll
Legal Copyright
  • Copyright © 2020
  • Copyright © 2021
  • www.UnlockClient.co
Original Filename
  • construsonhos.cloud3.exe
  • dSoft.exe
  • License Editor.exe
  • Quantis.exe
  • SearchSystem.exe
  • uninstall.dll
  • UnlockClient.exe
  • Update.dll
Product Name
  • dSoft
  • Synaptics Pointing Device Driver
  • uninstall
  • UnlockClient
  • Update
Product Version
  • 1.0.0.0
  • 0.0.0.50
  • 0.0.0.0

Digital Signatures

Signer Root Status
UnlockClient.co UnlockClient.co Self Signed

File Traits

  • .NET
  • 00 section
  • 2+ executable sections
  • dll
  • HighEntropy
  • Installer Version
  • NewLateBinding
  • ntdll
  • RijndaelManaged
  • Run
Show More
  • x86

Block Information

Total Blocks: 3
Potentially Malicious Blocks: 0
Whitelisted Blocks: 3
Unknown Blocks: 0

Visual Map

0 0 0
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.BypassUAC.K
  • MSIL.BypassUAC.LC
  • MSIL.BypassUAC.LD
  • MSIL.BypassUAC.P
  • MSIL.Downloader.CAYD
Show More
  • MSIL.Kryptik.AR
  • MSIL.Rozena.GG

Files Modified

File Attributes
c:\users\user\ce89172965fe3205dc28014db093c5c19a3e1236_0000055296 Generic Write,Read Attributes

Registry Modifications

Key::Value データ API Name
HKLM\software\microsoft\tracing\rasapi32::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::enableconsoletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasapi32::filedirectory %windir%\tracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enablefiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableautofiletracing RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::enableconsoletracing RegNtPreCreateKey
Show More
HKLM\software\microsoft\tracing\rasmancs::filetracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::consoletracingmask ￿ RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::maxfilesize  RegNtPreCreateKey
HKLM\software\microsoft\tracing\rasmancs::filedirectory %windir%\tracing RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • AdjustTokenPrivileges
  • SetWindowsHookEx
User Data Access
  • GetComputerName
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Anti Debug
  • CheckRemoteDebuggerPresent
  • IsDebuggerPresent
  • NtQuerySystemInformation
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcCreatePortSection
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtPowerInformation
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThread
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId

8 additional items are not displayed above.

Encryption Used
  • BCryptOpenAlgorithmProvider
Process Manipulation Evasion
  • ReadProcessMemory
Network Winsock2
  • WSAConnect
  • WSASocket
  • WSAStartup
  • WSAttemptAutodialName
Network Winsock
  • closesocket
  • freeaddrinfo
  • getaddrinfo
  • recv
  • send
  • setsockopt
Network Winhttp
  • WinHttpOpen
Network Info Queried
  • GetAdaptersAddresses
  • GetNetworkParams

トレンド

Mr Beast Discord詐欺

フィッシング, スパム
オンラインでの安全を確保するには、常に意識を高く持ち、健全な懐疑心を持つことが不可欠です。サイバー犯罪者は、人気のあるトレンドや信頼できる人物を悪用してユーザーを騙す手口をますます巧妙化させており、著名なインフルエンサーを題材にした詐欺も増加傾向にあります。MrBeastのDiscord詐欺は、攻撃者がいかに信頼と好奇心を悪用してアカウントを侵害し、データを盗み、悪質なコンテンツを拡散させるかを示す典型的な例です。 MrBeast Discord詐欺の裏に隠された欺瞞 MrBeast Discord詐欺は、広く知られているYouTuberであるMrBeastになりすますソーシャルエンジニ...

「クラウドが無効になっています」というメール詐欺

フィッシング, スパム
予期せぬメール、特に緊急性や不安を煽るようなメールには、常に注意を払う必要があります。サイバー犯罪者は、受信者を騙して有害な行動を取らせるために、不正なメッセージを正規の通知に見せかけることがよくあります。「クラウドが無効になりました」といった詐欺メールは、いかなる正規の企業、組織、サービスプロバイダーとも一切関係がないことを強調しておきます。 「クラウドが無効になっています」という詐欺とは何ですか? 「クラウドが無効になりました」というメール詐欺は、クラウドストレージサービスからの通知を装った悪質なキャンペーンです。これらのメールは、ストレージ容量の制限や利用していないサブスクリプショ...

PCLockedランサムウェア

ランサムウェア
サイバー脅威は高度化と影響力の増大を続けており、現代のマルウェアからデバイスを保護することは極めて重要になっています。最も被害の大きいマルウェアの一つがランサムウェアです。ランサムウェアは、貴重なデータへのアクセスを遮断し、そのデータの返還を要求して被害者から金銭を脅し取ることを目的としたマルウェアです。PCLocked Ransomwareと呼ばれる新たな脅威は、攻撃者がいかに巧妙な手口で...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
34,848
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
29,267
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Eporner.com

問題
24,656
インターネットは、役立つコンテンツ、エンターテイメント、そして情報で溢れる広大な空間ですが、同時に危険な側面も存在します。番組のストリーミング再生、アプリのダウンロード、アダルトコンテンツプラットフォームの利用など、どんな場面でも常に警戒を怠らないことが重要です。多くのサイト、特に積極的な広告で運営されているサイトは、深刻なセキュリティリスクをもたらす可能性があります。懸念されているサイトの...
読み込んでいます...