前言概述

XWorm是一种针对Windows操作系统的流行商业恶意软件，可通过暗网论坛以恶意软件即服务(MaaS)的形式购买，这种多功能恶意软件主要用作远程访问工具 (RAT)，允许攻击者控制受感染的系统，它以隐秘性和持久性以及广泛的恶意活动而闻名，从远程桌面控制到勒索软件和信息盗窃。

除了RAT功能外，XWorm通常还具有自我传播功能，使其能够在网络中自主传播，它也是一种可通过可移动驱动器(如USB闪存驱动器)传播的恶意软件，会感染Windows系统并可能窃取信息或允许远程访问。

样本分析

1.母体样本运行之后，如下所示：

[出自:jiwo.org]

2.获取核心PayLoad代码，采用NET语言编写，如下所示：

3.XWormRAT核心代码，如下所示：

4.解密C2配置信息代码，如下所示：

5.动态调试获取远程服务器C2为favor.ydns.eu，如下所示：

6.在威胁情报平台查询C2域名，如下所示：

7.此前有人在社交平台上分享XWormRAT5.6的源代码，如下所示：

8.初始化C2配置信息代码，如下所示：

9.前不久有人在GITHUB上分享XWormRAT远控全版本，现在链接己经取消，这些版本可能都带有后门，如下所示：

针对XWormRAT远控样本，感有兴趣的可以自行研究。