多许可证折扣报价
威胁数据库 恶意软件 阿马迪

阿马迪

通过GoldSparrow恶意软件
翻译为:

Amadey 黑客工具是由不知名的恶意威胁参与者开发的僵尸网络生成器,并在各种黑客论坛上出售。它首次出现于 2019 年初。这种威胁也可以用作第一阶段的有效载荷,可以向主机引入额外的恶意软件。最初,Amadey 黑客工具的价格约为 500 美元。这种威胁获得了一些关注并且似乎卖得很好,因为恶意软件研究人员发现 Amadey 工具被用于全球许多不同的活动。甚至臭名昭著的 TA505 黑客组织也得到了 Amadey 威胁。

分销策略

Amadey 是一种主要针对基于 Windows 的系统的恶意软件。它通常通过各种方式进入目标系统,包括:

  1. 电子邮件附件:Amadey 可能通过包含恶意附件的垃圾邮件进行分发,例如受感染的 Microsoft Office 文档(例如,Word 或 Excel 文件)、PDF 文件或 ZIP 存档。一旦收件人打开附件,就可以执行恶意软件。
  2. 恶意网站:Amadey 可以通过受感染的网站或恶意网站进行传播。如果您访问受感染的网站或单击触发路过式下载的恶意链接,可能会发生这种情况,从而导致恶意程序在您不知情的情况下安装到您的系统中。
  3. 漏洞利用工具包:漏洞利用工具包是网络犯罪分子用来利用软件漏洞的工具包。 Amadey 可能是这样分布的,它利用未修补的软件漏洞将恶意软件传送到目标系统。

安静运作

Amadey 操作员可以通过他们的 Web 浏览器获得管理权限和远程访问,以控制受感染的系统。然而,所有这一切都是在受害者用户看不见的情况下悄悄进行的。受害者很可能甚至没有意识到恶意软件感染已经劫持了他们的系统,并且它现在已成为僵尸网络的一部分。

坚持

一旦 Amadey 僵尸网络构建器渗透到系统中,它就可以检查是否存在任何最常见的反恶意软件工具。 Amadey 黑客工具能够通过修改 Windows 注册表来获得持久性,从而确保每次系统重启时都会启动威胁。

能力

这个黑客工具的功能列表有些有限。 Amadey 僵尸网络构建器可以收集有关受感染主机的信息,包括:

  • 操作系统。
  • 用户名。
  • 网络配置。
  • 硬件。

除了能够劫持计算机并将其添加到僵尸网络,这可能会被用于执行 DDoS(分布式拒绝服务)攻击之外,这种威胁还可以用作第一阶段的有效载荷,这将作为后门,攻击者可以用额外的和潜在更具威胁性的恶意软件感染主机。

在这个时代,我们谁都不能忽视网络安全。确保下载并安装合法的防病毒软件套件,以确保系统安全。

如何避免 Amadey Bot

为帮助避免 Amadey 恶意软件和类似威胁,请考虑实施以下预防措施:

  1. 保持软件更新:定期更新您的操作系统、网络浏览器和其他软件应用程序。
  2. 谨慎处理电子邮件附件:如果您收到意外附件,请在打开之前通过不同的通信渠道与发件人核实其真实性。
  3. 警惕网络钓鱼尝试:避免点击电子邮件或消息中看似可疑或来源不可靠的链接。
  4. 使用可靠的安全软件:在您的系统上安装信誉良好的防病毒产品和反恶意软件,并保持更新。
  5. 定期数据备份:在单独的存储设备或云中维护重要文件和数据的定期备份。如果发生恶意软件感染或其他事件,拥有最近的备份可确保您可以恢复数据并将潜在损害降至最低。
  6. 养成安全的浏览习惯:避免访问可疑或不受信任的网站。单击广告或链接时要小心,因为它们可能会将您重定向到分发恶意软件的恶意网站。

分析报告

一般信息

Family Name: Trojan.Amadey
Signature status: No Signature

Known Samples

MD5: 4f7dd64dab6c5a47dc113589ed95f131
SHA1: f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256: B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
文件大小: 849.41 KB, 849408 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

姓名 价值
Company Name Microsoft Corporation
File Description Win32 Cabinet Self-Extractor
File Version 11.00.17763.1 (WinBuild.160101.0800)
Internal Name Wextract
Legal Copyright © Microsoft Corporation. All rights reserved.
Original Filename WEXTRACT.EXE .MUI
Product Name Internet Explorer
Product Version 11.00.17763.1

File Traits

  • No Version Info
  • WriteProcessMemory
  • x86

Files Modified

File Attributes
\device\namedpipe\gmdasllogger Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value 数据 API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Service Control
  • OpenSCManager
  • OpenService
  • StartService
Other Suspicious
  • AdjustTokenPrivileges
Anti Debug
  • NtQuerySystemInformation
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe

趋势

CPanel账户暂停邮件诈骗

网络钓鱼, 垃圾邮件
网络犯罪分子经常滥用可信的技术术语和服务,以使他们的诈骗活动看起来更具可信度。cPanel账户暂停邮件诈骗就是这种伎俩的典型例子,他们使用耸人听闻的语言来迫使收件人迅速采取行动。这些邮件完全是欺诈性的,与任何合法公司、组织或服务提供商(包括cPanel或Microsoft Outlook)均无关联。 虚假停职指控详解 这些诈骗邮件声称收件人的账户存在可疑或异常活动。邮件中称,出于安全考虑,该账户已被暂时冻结。这些说法完全是捏造的,旨在制造恐慌和紧迫感,诱使受害者在未核实邮件真实性的情况下按照指示操作。 网络钓鱼陷阱的运作原理 收件人会被诱导点击诸如“取消暂停”之类的按钮来解决所谓的账户问题。此操作会将他们重定向到一个钓鱼网站,该网站通常旨在模仿真实的电子邮件登录页面。在这个虚假页面上输入的任何凭据都会被捕获并直接传输给诈骗者,从而使他们能够未经授权访问受害者的帐户。...

Webmotion.co.in

恶意网站, 广告软件, 浏览器劫持者
在浏览网页时保持警惕至关重要,因为欺骗性网站和恶意广告手段层出不穷。不法分子经常创建模仿合法功能的网页,诱骗用户进行不安全的操作,并暗中推送有害内容。Webmotion.co.in 就是这样一个域名,它是一个精心设计的、不可信的网页,旨在操纵访问者并使其接触有害内容。 通往侵入性和风险内容的门户 在对与恶意广告网络关联的网站进行调查时,发现了...

EtherRAT恶意软件

远程管理工具, 高级持续性威胁 (APT)
最近发现的一起与朝鲜运营商有关的威胁活动,据信正在利用 React2Shell (RSC) 的关键漏洞部署一种名为 EtherRAT 的此前未知的远程访问木马。该恶意软件的显著特点是:将以太坊智能合约集成到其命令与控制 (C2) 工作流程中,在 Linux 系统上安装多个持久层,并在部署过程中捆绑其自身的 Node.js 运行时。 与正在进行的“传染性访谈”行动相关的链接 安全团队发现...

最受关注

如何修复“打印机驱动程序不可用”错误

问题
47,552
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
36,113
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...

Discord 卡在灰色屏幕上

问题
35,253
有时,在使用 Discord 应用程序时,用户可能会卡在灰色屏幕上。在流式传输或简单地加载应用程序时可能会出现此问题。如果您遇到这种情况并且想知道如何解决它,请尝试以下解决方案。 在屏幕模式之间切换 如果原因是视觉故障而不是更严重的问题,从一种屏幕模式切换到另一种屏幕模式,例如启用全屏模式或较小的屏幕选项,可以解决问题。按键盘上的 Ctrl+A 看看它是否有任何效果。 删除 Discord...
正在加载...