Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra Amadeja

Amadeja

Līdz GoldSparrow. gadam Ļaunprātīga programmatūra. gadā
Tulkot uz:

Amadey uzlaušanas rīks ir robottīklu veidotājs, ko izstrādājuši nezināmi slikti domājoši draudu dalībnieki un kas tiek pārdots dažādos hakeru forumos. Pirmo reizi tas parādījās 2019. gada sākumā. Šos draudus var izmantot arī kā pirmās pakāpes lietderīgo slodzi, kas var resursdatorā ievietot papildu ļaunprātīgu programmatūru. Sākotnēji Amadey uzlaušanas rīks maksāja aptuveni 500 USD. Šie draudi ieguva zināmu pievilcību un, šķiet, ir labi pārdoti, jo ļaunprātīgas programmatūras pētnieki ir pamanījuši, ka Amadey rīks tiek izmantots daudzās dažādās kampaņās visā pasaulē. Pat bēdīgi slavenā hakeru grupa TA505 uztvēra Amadey draudus.

Izplatīšanas taktika

Amadey ir ļaunprātīgas programmatūras veids, kas galvenokārt ir vērsts uz Windows sistēmām. Tas parasti nonāk mērķa sistēmā, izmantojot dažādus līdzekļus, tostarp:

  1. E-pasta pielikumi : Amadey var tikt izplatīts, izmantojot surogātpasta e-pasta ziņojumus, kas satur ļaunprātīgus pielikumus, piemēram, inficētus Microsoft Office dokumentus (piemēram, Word vai Excel failus), PDF failus vai ZIP arhīvus. Kad adresāts atver pielikumu, var tikt izpildīta ļaunprātīga programmatūra.
  2. Ļaunprātīgas vietnes : Amadey var piegādāt, izmantojot uzlauztas vai ļaunprātīgas vietnes. Tas var notikt, ja apmeklējat uzlauztu vietni vai noklikšķināt uz ļaunprātīgas saites, kas aktivizē lejupielādi, kā rezultātā jūsu sistēmā bez jūsu ziņas tiek instalēta ļaunprātīga programma.
  3. Ekspluatācijas komplekti : Exploit komplekti ir rīku komplekti, ko kibernoziedznieki izmanto, lai izmantotu programmatūras ievainojamības. Amadey var tikt izplatīts šādi, kas izmanto nepārlāpto programmatūras ievainojamību, lai ļaunprātīgu programmatūru piegādātu mērķa sistēmā.

Darbojas Klusi

Amadey operatori var iegūt administratīvās privilēģijas un attālo piekļuvi, izmantojot savu tīmekļa pārlūkprogrammu, lai vadītu inficētās sistēmas. Tomēr tas viss tiek veikts klusi un upura lietotāja redzeslokā. Iespējams, ka upuri var pat nenojaust, ka viņu sistēmu ir nolaupījusi ļaunprātīga programmatūra un ka tā tagad ir daļa no robottīkla.

Noturība

Kad Amadey robottīklu veidotājs iefiltrējas sistēmā, tas var pārbaudīt, vai ir pieejams kāds no visizplatītākajiem ļaunprātīgas programmatūras apkarošanas rīkiem. Amadey uzlaušanas rīks spēj iegūt noturību, modificējot Windows reģistru, tādējādi nodrošinot, ka draudi tiks palaisti katru reizi, kad sistēma tiek pārstartēta.

Iespējas

Šim uzlaušanas rīkam ir nedaudz ierobežots iespēju saraksts. Amadey robottīkla veidotājs var apkopot informāciju par inficēto saimniekdatoru, tostarp:

  • Operētājsistēma.
  • Lietotājvārds.
  • Tīkla konfigurācija.
  • Aparatūra.

Papildus iespējai nolaupīt datoru un pievienot to robottīklam, kas varētu tikt izmantots, lai veiktu DDoS (Distributed-Denial-of-Service) uzbrukumus, šos draudus var izmantot arī kā pirmās pakāpes lietderīgo slodzi, kas kalpo kā aizmugures durvis uzbrucējiem, lai inficētu resursdatoru ar papildu un, iespējams, bīstamāku ļaunprātīgu programmatūru.

Mūsdienās neviens no mums nevar atļauties neievērot kiberdrošību. Noteikti lejupielādējiet un instalējiet likumīgu pretvīrusu programmatūras komplektu, kas nodrošinās jūsu sistēmas drošību.

Kā izvairīties no Amadey Bot

Lai izvairītos no Amadey ļaunprātīgas programmatūras un līdzīgiem draudiem, apsveriet šādu preventīvu pasākumu ieviešanu:

  1. Atjauniniet programmatūru : regulāri atjauniniet operētājsistēmu, tīmekļa pārlūkprogrammas un citas programmatūras lietojumprogrammas.
  2. Esiet piesardzīgs ar e-pasta pielikumiem : ja saņemat negaidītu pielikumu, pirms atvēršanas pārbaudiet tā autentiskumu ar sūtītāju, izmantojot citu saziņas kanālu.
  3. Uzmanieties no pikšķerēšanas mēģinājumiem : neklikšķiniet uz saitēm e-pasta ziņojumos vai ziņojumos, kas šķiet aizdomīgi vai nāk no neuzticamiem avotiem.
  4. Izmantojiet uzticamu drošības programmatūru : savā sistēmā instalējiet cienījamus pretvīrusu produktus un ļaunprātīgas programmatūras novēršanas programmatūru un atjauniniet to.
  5. Regulāra datu dublēšana : regulāri dublējiet savus svarīgos failus un datus atsevišķās atmiņas ierīcēs vai mākonī. Ļaunprātīgas programmatūras inficēšanās vai citu incidentu gadījumā nesen veiktas dublējumkopijas nodrošina iespēju atjaunot datus un samazināt iespējamos bojājumus.
  6. Izmantojiet drošas pārlūkošanas paradumus : izvairieties no aizdomīgu vai neuzticamu vietņu apmeklēšanas. Esiet piesardzīgs, noklikšķinot uz reklāmām vai saitēm, jo tās var jūs novirzīt uz ļaunprātīgām vietnēm, kas izplata ļaunprātīgu programmatūru.

Analīzes ziņojums

Galvenā informācija

Family Name: Trojan.Amadey
Signature status: No Signature

Known Samples

MD5: 4f7dd64dab6c5a47dc113589ed95f131
SHA1: f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256: B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
Faila lielums: 849.41 KB, 849408 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Vārds Vērtība
Company Name Microsoft Corporation
File Description Win32 Cabinet Self-Extractor
File Version 11.00.17763.1 (WinBuild.160101.0800)
Internal Name Wextract
Legal Copyright © Microsoft Corporation. All rights reserved.
Original Filename WEXTRACT.EXE .MUI
Product Name Internet Explorer
Product Version 11.00.17763.1

File Traits

  • No Version Info
  • WriteProcessMemory
  • x86

Files Modified

File Attributes
\device\namedpipe\gmdasllogger Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value Dati API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Service Control
  • OpenSCManager
  • OpenService
  • StartService
Other Suspicious
  • AdjustTokenPrivileges
Anti Debug
  • NtQuerySystemInformation
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe

Tendences

CPanel konta apturēšanas e-pasta krāpniecība

Pikšķerēšana, Mēstules
Kibernoziedznieki bieži ļaunprātīgi izmanto uzticamus tehniskos terminus un pakalpojumus, lai viņu krāpniecības izskatītos ticamas. cPanel konta apturēšanas e-pasta krāpniecība ir skaidrs šīs taktikas piemērs, kurā tiek izmantota satraucoša valoda, lai piespiestu adresātus rīkoties ātri. Šie e-pasti ir pilnībā krāpnieciski un nav saistīti ar likumīgiem uzņēmumiem, organizācijām vai pakalpojumu...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
30,038
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...