Amadey
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
| Popularity Rank: | 18,267 |
| Niveau de menace: | 80 % (Haute) |
| Ordinateurs infectés : | 58 |
| Vu la première fois: | January 11, 2025 |
| Vu pour la dernière fois : | March 19, 2026 |
| Systèmes d'exploitation concernés: | Windows |
L'outil de piratage Amadey est un constructeur de botnets développé par des acteurs malveillants inconnus et vendu sur divers forums de piratage. Il est apparu pour la première fois au début de 2019. Cette menace peut également être utilisée comme charge utile de première étape qui peut introduire des logiciels malveillants supplémentaires sur l'hôte. Initialement, l'outil de piratage Amadey coûtait environ 500 $. Cette menace a gagné du terrain et semble s'être bien vendue, car les chercheurs en logiciels malveillants ont repéré l'outil Amadey utilisé dans de nombreuses campagnes différentes dans le monde. Même le tristement célèbre groupe de piratage TA505 a mis la main sur la menace Amadey.
Table des matières
Tactiques de distribution
Amadey est un type de logiciel malveillant qui cible principalement les systèmes Windows. Il entre généralement dans un système cible par divers moyens, notamment :
- Pièces jointes aux e-mails : Amadey peut être distribué via des spams contenant des pièces jointes malveillantes, telles que des documents Microsoft Office infectés (par exemple, des fichiers Word ou Excel), des fichiers PDF ou des archives ZIP. Une fois que le destinataire ouvre la pièce jointe, le logiciel malveillant peut être exécuté.
- Sites Web malveillants : Amadey peut être diffusé via des sites Web compromis ou malveillants. Cela peut se produire si vous visitez un site Web compromis ou cliquez sur un lien malveillant qui déclenche un téléchargement intempestif, entraînant l'installation d'un programme malveillant sur votre système à votre insu.
- Kits d'exploitation : Les kits d'exploitation sont des kits d'outils utilisés par les cybercriminels pour exploiter les vulnérabilités des logiciels. Amadey peut être distribué de cette façon, qui tire parti des vulnérabilités logicielles non corrigées pour diffuser le logiciel malveillant sur le système cible.
Fonctionne silencieusement
Les opérateurs d'Amadey peuvent obtenir des privilèges administratifs et un accès à distance via leur navigateur Web pour commander les systèmes infectés. Cependant, tout cela est effectué en silence et hors de la vue de l'utilisateur victime. Il est probable que les victimes ne réalisent même pas qu'une infection malveillante a piraté leur système et qu'il fait maintenant partie d'un botnet.
Persistance
Une fois que le constructeur de botnet Amadey s'est infiltré dans un système, il peut vérifier si l'un des outils anti-malware les plus courants est présent. L'outil de piratage Amadey est capable de gagner en persistance en modifiant le registre Windows, garantissant ainsi que la menace sera lancée à chaque redémarrage du système.
Capacités
Cet outil de piratage a une liste de capacités quelque peu limitée. Le constructeur de botnet Amadey peut recueillir des informations sur l'hôte infecté, notamment :
- Système opérateur.
- Nom d'utilisateur.
- Configuration du réseau.
- Matériel.
Outre la possibilité de détourner un ordinateur et de l'ajouter à un botnet, qui serait potentiellement utilisé pour mener des attaques DDoS (Distributed-Denial-of-Service), cette menace peut également être utilisée comme charge utile de première étape, qui servir de porte dérobée aux attaquants pour infecter l'hôte avec des logiciels malveillants supplémentaires et potentiellement plus menaçants.
Aucun d'entre nous ne peut se permettre de négliger la cybersécurité de nos jours. Assurez-vous de télécharger et d'installer une suite logicielle antivirus légitime qui assurera la sécurité de votre système.
Comment éviter le bot Amadey
Pour aider à éviter le logiciel malveillant Amadey et les menaces similaires, envisagez de mettre en œuvre les mesures préventives suivantes :
- Gardez le logiciel à jour : mettez régulièrement à jour votre système d'exploitation, vos navigateurs Web et d'autres applications logicielles.
- Faites preuve de prudence avec les pièces jointes aux e-mails : si vous recevez une pièce jointe inattendue, vérifiez son authenticité auprès de l'expéditeur via un canal de communication différent avant de l'ouvrir.
- Méfiez-vous des tentatives d'hameçonnage : évitez de cliquer sur des liens dans des e-mails ou des messages qui semblent suspects ou qui proviennent de sources non fiables.
- Utilisez un logiciel de sécurité fiable : installez des produits antivirus et des logiciels anti-malware réputés sur votre système et maintenez-les à jour.
- Sauvegarde régulière des données : Maintenez des sauvegardes régulières de vos fichiers et données importants sur des périphériques de stockage séparés ou dans le cloud. En cas d'infection par un logiciel malveillant ou d'autres incidents, le fait d'avoir des sauvegardes récentes vous permet de restaurer vos données et de minimiser les dommages potentiels.
- Adoptez des habitudes de navigation sûres : évitez de visiter des sites Web suspects ou non fiables. Soyez prudent lorsque vous cliquez sur des publicités ou des liens, car ils peuvent vous rediriger vers des sites Web malveillants qui distribuent des logiciels malveillants.
Bulletin d'analyse
Informations générales
| Family Name: | Trojan.Amadey |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
4f7dd64dab6c5a47dc113589ed95f131
SHA1:
f107ea76c84db39fbdc10dce73ac2925529a41a4
SHA256:
B66C02C0AE954074DC4E4C9FCA01BA45A0C35B75919535F27FEF6FB59617C15B
Taille du fichier:
849.41 KB, 849408 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have exports table
- File doesn't have security information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| Nom | Évaluer |
|---|---|
| Company Name | Microsoft Corporation |
| File Description | Win32 Cabinet Self-Extractor |
| File Version | 11.00.17763.1 (WinBuild.160101.0800) |
| Internal Name | Wextract |
| Legal Copyright | © Microsoft Corporation. All rights reserved. |
| Original Filename | WEXTRACT.EXE .MUI |
| Product Name | Internet Explorer |
| Product Version | 11.00.17763.1 |
File Traits
- No Version Info
- WriteProcessMemory
- x86
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| \device\namedpipe\gmdasllogger | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\f2696808.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\v2696511.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\e5630715.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe | Generic Write,Read Attributes |
Show More
| c:\users\user\appdata\local\temp\ixp001.tmp\v3696399.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\d8715226.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\v9882882.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp003.tmp\c3559334.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp003.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp003.tmp\v2891154.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\a1084955.exe_deleted_ | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\b5900476.exe_deleted_ | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp004.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | Données | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup3 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup4 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| Syscall Use |
Show More
|
| User Data Access |
|
| Service Control |
|
| Other Suspicious |
|
| Anti Debug |
|
| Encryption Used |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Cdspunrm\AppData\Local\Temp\IXP000.TMP\v2696511.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP001.TMP\v3696399.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP002.TMP\v9882882.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\v2891154.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\a1084955.exe
|
Show More
C:\Users\Cdspunrm\AppData\Local\Temp\IXP004.TMP\b5900476.exe
|
C:\Users\Cdspunrm\AppData\Local\Temp\IXP003.TMP\c3559334.exe
|
