NetWireRAT

NetWire КРЫСА. Именование хэш-префикса x00f01750.exe. FtpOpenFileW Эксфильтрация FTP-данных. ping 192.0.2.2 RFC5737 Уклонение от сна TEST-NET. Тройной антиотладчик. Встроенное регулярное выражение PCRE.

Профиль угрозы
Тип RAT
Язык программированияC++
C2 ПротоколTCP/FTP
Первое обнаружение2012
Цели Küresel
Назначение / Возможности
  • Удаленный доступ/кража учетных данных/кейлоггер
Для этого семейства пока не обнаружено C2-серверов.

Исследовательские отчёты (1)

Высокий

NetWireRAT2 -- x00f01750.exe Hash Prefixli İsim, FtpOpenFileW FTP Sızma Kanalı, ping 192.0.2.2 TEST-NET Ping Sleep Hilesi, Üçlü Anti-Debug IsDebuggerPresent GetTickCount64 | Yüksek

NetWireRAT 1.43MB x00f01750.exe hash-prefixli dosya ismi. FtpOpenFileW FtpGetFileSize FTP veri sizma. ping 192.0.2.2 -n 1 -w %d RFC5737 TEST-NET ping sleep hilesi. Triple anti-debug.

Читать отчёт →