Rabattoffert för flera licenser
Hotdatabas Skadlig programvara Amadey

Amadey

Med GoldSparrow år Skadlig programvara
Översätt till:

Hackingverktyget Amadey är en botnätsbyggare som utvecklats av okända illasinnade hotaktörer och säljs på olika hackforum. Det dök upp för första gången i början av 2019. Detta hot kan också användas som en nyttolast i första steget som kan introducera ytterligare skadlig programvara till värden. Inledningsvis kostade hackningsverktyget Amadey $500 ungefär. Detta hot fick en viss dragning och verkar ha sålt bra, eftersom skadlig programvara har upptäckt att Amadey-verktyget används i många olika kampanjer över hela världen. Till och med den ökända TA505-hackargruppen fick tag på Amadey-hotet.

Distributionstaktik

Amadey är en typ av skadlig programvara som främst riktar sig till Windows-baserade system. Det går vanligtvis in i ett målsystem på olika sätt, inklusive:

  1. E-postbilagor : Amadey kan distribueras via spam-e-postmeddelanden som innehåller skadliga bilagor, såsom infekterade Microsoft Office-dokument (t.ex. Word- eller Excel-filer), PDF-filer eller ZIP-arkiv. När mottagaren öppnar bilagan kan skadlig programvara exekveras.
  2. Skadliga webbplatser : Amadey kan levereras genom komprometterade eller skadliga webbplatser. Detta kan inträffa om du besöker en intrång på en webbplats eller klickar på en skadlig länk som utlöser en drive-by-nedladdning, vilket resulterar i att ett skadligt program installeras på ditt system utan din vetskap.
  3. Exploit kit : Exploit kit är verktygssatser som används av cyberbrottslingar för att utnyttja sårbarheter i programvara. Amadey kan distribueras på det sättet, vilket utnyttjar sårbarheter i oparpad mjukvara för att leverera skadlig programvara till målsystemet.

Fungerar tyst

Amadey-operatörer kan få administrativa privilegier och fjärråtkomst via sin webbläsare för att styra de infekterade systemen. Allt detta utförs dock tyst och utom synhåll för den drabbade användaren. Det är troligt att offren kanske inte ens inser att en malwareinfektion har kapat deras system och att det nu är en del av ett botnät.

Uthållighet

När Amadey botnät-byggaren infiltrerar ett system kan den kontrollera om något av de vanligaste anti-malware-verktygen finns. Amadey-hackningsverktyget kan få uthållighet genom att modifiera Windows-registret, vilket säkerställer att hotet kommer att lanseras varje gång systemet startas om.

Förmågor

Det här hackningsverktyget har en något begränsad lista över funktioner. Amadey botnätsbyggare kan samla information om den infekterade värden, inklusive:

  • Operativ system.
  • Användarnamn.
  • Nätverkskonfiguration.
  • Hårdvara.

Förutom att kunna kapa en dator och lägga till den i ett botnät, som skulle kunna användas för att utföra DDoS-attacker (Distributed-Denial-of-Service) potentiellt, kan detta hot också användas som en nyttolast i första steget, vilket kommer att fungera som en bakdörr för angriparna att infektera värden med ytterligare och potentiellt mer hotfull skadlig programvara.

Ingen av oss har råd att förbise cybersäkerhet i våra dagar. Se till att du laddar ner och installerar en legitim antivirusprogramsvit som håller ditt system säkert.

Hur man undviker Amadey Bot

För att undvika skadlig programvara från Amadey och liknande hot, överväg att implementera följande förebyggande åtgärder:

  1. Håll programvaran uppdaterad : Uppdatera regelbundet ditt operativsystem, webbläsare och andra program.
  2. Var försiktig med e-postbilagor : Om du får en oväntad bilaga, verifiera dess äkthet med avsändaren via en annan kommunikationskanal innan du öppnar den.
  3. Var försiktig med nätfiskeförsök : Undvik att klicka på länkar i e-postmeddelanden eller meddelanden som verkar misstänkta eller kommer från opålitliga källor.
  4. Använd tillförlitlig säkerhetsprogramvara : Installera välrenommerade antivirusprodukter och anti-malware-programvara på ditt system och håll det uppdaterat.
  5. Regelbunden datasäkerhetskopiering : Upprätthåll regelbundna säkerhetskopior av dina viktiga filer och data på separata lagringsenheter eller i molnet. I händelse av en infektion med skadlig programvara eller andra incidenter kan du med nya säkerhetskopior säkerställa att du kan återställa dina data och minimera potentiell skada.
  6. Utöva säkra surfvanor : Undvik att besöka misstänkta eller opålitliga webbplatser. Var försiktig när du klickar på annonser eller länkar, eftersom de kan omdirigera dig till skadliga webbplatser som distribuerar skadlig programvara.

Analys rapport

Allmän information

Family Name: Trojan.Amadey
Signature status: No Signature

Known Samples

MD5: 4f7dd64dab6c5a47dc113589ed95f131
SHA1: f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256: B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
Filstorlek: 849.41 KB, 849408 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Namn Värde
Company Name Microsoft Corporation
File Description Win32 Cabinet Self-Extractor
File Version 11.00.17763.1 (WinBuild.160101.0800)
Internal Name Wextract
Legal Copyright © Microsoft Corporation. All rights reserved.
Original Filename WEXTRACT.EXE .MUI
Product Name Internet Explorer
Product Version 11.00.17763.1

File Traits

  • No Version Info
  • WriteProcessMemory
  • x86

Files Modified

File Attributes
\device\namedpipe\gmdasllogger Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value Data API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Service Control
  • OpenSCManager
  • OpenService
  • StartService
Other Suspicious
  • AdjustTokenPrivileges
Anti Debug
  • NtQuerySystemInformation
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe

relaterade inlägg

Trendigt

Mest sedda

Läser in...