Manuel Statik Analiz — XWorm (VBS Dropper) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | fe4a930a99df7e321579750b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | SHN2026000000026.vbs |
| Boyut | 1.579.750 byte (1.6MB VBS dosyası) |
| String Sayisi | 13.171 |
Sıralı VBS Teslimat Adlandırması
SHN2026000000026.vbs -- "SHN" = Shipment Number / Sevkiyat Numarası! -- "2026" = 2026 yılı (kampanya yılı) -- "000000026" = sıralı hedef/kurban ID'si (26. hedef!) -- Sevkiyat belgesi kisvesiyle email eki -- Her hedefe farklı numara → kurban takibi
Rusça C2 Domain
neuroprostheses.Ru -- "neuroprosthetics" (nöroprotezler) = tıbbi alandaki meşru terim -- .Ru = Rusya TLD (Rus operatör teyidi!) -- Meşru tıp araştırması kisvesi → domain engeli zor -- Nöroprostez araştırma kurumu maskeleme stratejisi
IOC
| SHA256 | fe4a930a99df7e321579750b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | neuroprostheses.Ru (.Ru TLD) |
| Teslimat | SHN2026000000026.vbs (sevkiyat numaralı VBS) |
XWorm2 — Malware Profile
XWorm .NET 2022 TurkoRat forum. SHN2026 VBS delivery. neuroprostheses.Ru C2. Keylogger+clipboard+RAT. AveStealer base.
Malware Type
RAT
Programming Language
VBScript/.NET
C2 Protocol
TCP
Target Systems
LATAM/Ispanya
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — XWorm2
# DOMAIN
neuroprostheses.ru
| Type | Value | Note |
|---|---|---|
| domain | neuroprostheses.ru |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| neuroprostheses.ru | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.