多許可證折扣報價
威脅數據庫 惡意軟體 阿馬迪

阿馬迪

惡意軟體GoldSparrow
翻譯為:

Amadey 黑客工具是由不知名的惡意威脅參與者開發的殭屍網絡生成器,並在各種黑客論壇上出售。它首次出現於 2019 年初。這種威脅也可以用作第一階段的有效載荷,可以向主機引入額外的惡意軟件。最初,Amadey 黑客工具的價格約為 500 美元。這種威脅獲得了一些關注並且似乎賣得很好,因為惡意軟件研究人員發現 Amadey 工具被用於全球許多不同的活動。甚至臭名昭著的 TA505 黑客組織也得到了 Amadey 威脅。

分銷策略

Amadey 是一種主要針對基於 Windows 的系統的惡意軟件。它通常通過各種方式進入目標系統,包括:

  1. 電子郵件附件:Amadey 可能通過包含惡意附件的垃圾郵件進行分發,例如受感染的 Microsoft Office 文檔(例如,Word 或 Excel 文件)、PDF 文件或 ZIP 存檔。一旦收件人打開附件,就可以執行惡意軟件。
  2. 惡意網站:Amadey 可以通過受感染的網站或惡意網站進行傳播。如果您訪問受感染的網站或單擊觸發路過式下載的惡意鏈接,可能會發生這種情況,從而導致惡意程序在您不知情的情況下安裝到您的系統中。
  3. 漏洞利用工具包:漏洞利用工具包是網絡犯罪分子用來利用軟件漏洞的工具包。 Amadey 可能是這樣分佈的,它利用未修補的軟件漏洞將惡意軟件傳送到目標系統。

安靜運作

Amadey 操作員可以通過他們的 Web 瀏覽器獲得管理權限和遠程訪問,以控制受感染的系統。然而,所有這一切都是在受害者用戶看不見的情況下悄悄進行的。受害者很可能甚至沒有意識到惡意軟件感染已經劫持了他們的系統,並且它現在已成為殭屍網絡的一部分。

堅持

一旦 Amadey 殭屍網絡構建器滲透到系統中,它就可以檢查是否存在任何最常見的反惡意軟件工具。 Amadey 黑客工具能夠通過修改 Windows 註冊表來獲得持久性,從而確保每次系統重啟時都會啟動威脅。

能力

這個黑客工具的功能列表有些有限。 Amadey 殭屍網絡構建器可以收集有關受感染主機的信息,包括:

  • 操作系統。
  • 用戶名。
  • 網絡配置。
  • 硬件。

除了能夠劫持計算機並將其添加到殭屍網絡,這可能會被用於執行 DDoS(分佈式拒絕服務)攻擊之外,這種威脅還可以用作第一階段的有效載荷,這將作為後門,攻擊者可以用額外的和潛在更具威脅性的惡意軟件感染主機。

在這個時代,我們誰都不能忽視網絡安全。確保下載並安裝合法的防病毒軟件套件,以確保系統安全。

如何避免 Amadey Bot

為幫助避免 Amadey 惡意軟件和類似威脅,請考慮實施以下預防措施:

  1. 保持軟件更新:定期更新您的操作系統、網絡瀏覽器和其他軟件應用程序。
  2. 謹慎處理電子郵件附件:如果您收到意外附件,請在打開之前通過不同的通信渠道與發件人核實其真實性。
  3. 警惕網絡釣魚嘗試:避免點擊電子郵件或消息中看似可疑或來源不可靠的鏈接。
  4. 使用可靠的安全軟件:在您的系統上安裝信譽良好的防病毒產品和反惡意軟件,並保持更新。
  5. 定期數據備份:在單獨的存儲設備或云中維護重要文件和數據的定期備份。如果發生惡意軟件感染或其他事件,擁有最近的備份可確保您可以恢復數據並將潛在損害降至最低。
  6. 養成安全的瀏覽習慣:避免訪問可疑或不受信任的網站。單擊廣告或鏈接時要小心,因為它們可能會將您重定向到分發惡意軟件的惡意網站。

分析报告

一般信息

Family Name: Trojan.Amadey
Signature status: No Signature

Known Samples

MD5: 4f7dd64dab6c5a47dc113589ed95f131
SHA1: f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256: B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
文件大小: 849.41 KB, 849408 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

姓名 价值
Company Name Microsoft Corporation
File Description Win32 Cabinet Self-Extractor
File Version 11.00.17763.1 (WinBuild.160101.0800)
Internal Name Wextract
Legal Copyright © Microsoft Corporation. All rights reserved.
Original Filename WEXTRACT.EXE .MUI
Product Name Internet Explorer
Product Version 11.00.17763.1

File Traits

  • No Version Info
  • WriteProcessMemory
  • x86

Files Modified

File Attributes
\device\namedpipe\gmdasllogger Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value 数据 API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDuplicateObject
Show More
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserObjectInformation
Service Control
  • OpenSCManager
  • OpenService
  • StartService
Other Suspicious
  • AdjustTokenPrivileges
Anti Debug
  • NtQuerySystemInformation
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe

熱門

CPanel帳號暫停郵件詐騙

網路釣魚, 垃圾郵件
網路犯罪分子經常濫用可信賴的技術術語和服務,以使他們的詐騙活動看起來更具可信度。 cPanel帳號暫停郵件詐騙就是這種伎倆的典型例子,他們使用聳人聽聞的語言來迫使收件者迅速採取行動。這些郵件完全是欺詐性的,與任何合法公司、組織或服務提供者(包括cPanel或Microsoft Outlook)均無關聯。 虛假停職指控詳解 這些詐騙郵件聲稱收件人的帳號有可疑或異常活動。郵件中稱,出於安全考慮,該帳戶已被暫時凍結。這些說法完全是捏造的,旨在製造恐慌和緊迫感,誘使受害者在未核實郵件真實性的情況下按照指示操作。 網路釣魚陷阱的運作原理 收件人會被誘導點擊諸如“取消暫停”之類的按鈕來解決所謂的帳戶問題。此操作會將他們重新導向到一個釣魚網站,該網站通常旨在模仿真實的電子郵件登入頁面。在這個虛假頁面上輸入的任何憑證都會被捕獲並直接傳輸給詐騙者,從而使他們能夠未經授權訪問受害者的帳戶。...

Webmotion.co.in

流氓網站, 廣告軟體, 瀏覽器劫持者
在瀏覽網頁時保持警覺至關重要,因為欺騙性網站和惡意廣告手法層出不窮。不法分子經常創建模仿合法功能的網頁,誘騙用戶進行不安全的操作,並暗中推送有害內容。 Webmotion.co.in 就是這樣一個域名,它是一個精心設計的、不可信的網頁,旨在操縱訪客並使其接觸有害內容。 通往侵入性和風險內容的門戶 在對與惡意廣告網路關聯的網站進行調查時,發現了...

EtherRAT惡意軟體

遠端管理工具, 進階持續性威脅 (APT)
最近發現的一起與北韓營運商有關的威脅活動,據信正在利用 React2Shell (RSC) 的關鍵漏洞部署一種名為 EtherRAT 的此前未知的遠端存取木馬。此惡意軟體的顯著特點是:將以太坊智慧合約整合到其命令與控制 (C2) 工作流程中,在 Linux 系統上安裝多個持久層,並在部署過程中捆綁其自身的 Node.js 運行時。 與正在進行的“傳染性訪談”行動相關的鏈接 安全團隊發現...

最受關注

如何修復“打印機驅動程序不可用”錯誤

問題
47,552
打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是,如果您的打印機顯示“打印機驅動程序不可用”錯誤,那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題,但我們想向您介紹其他解決方案。 更新打印機的驅動程序...
Discord 在共享屏幕時顯示黑屏截图

Discord 在共享屏幕時顯示黑屏

問題
36,113
首次推出時,Discord 是一個面向遊戲社區的 VoIP 平台。然而,在接下來的幾年裡,它擴大了範圍,增加了許多新功能,並成為最大的社交平台之一,每月活躍用戶超過 1.4 億。目前,用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕,並組織以特定興趣為中心的稱為服務器的社區。 毫無疑問,快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...

Discord 卡在灰色屏幕上

問題
35,253
有時,在使用 Discord 應用程序時,用戶可能會卡在灰色屏幕上。在流式傳輸或簡單地加載應用程序時可能會出現此問題。如果您遇到這種情況並且想知道如何解決它,請嘗試以下解決方案。 在屏幕模式之間切換 如果原因是視覺故障而不是更嚴重的問題,從一種屏幕模式切換到另一種屏幕模式,例如啟用全屏模式或較小的屏幕選項,可以解決問題。按鍵盤上的 Ctrl+A 看看它是否有任何效果。 刪除 Discord...
加載中...