日本CERT（计算机紧急响应小组）发布了一个新实用程序，使Windows用户可以轻松检查他们是否感染了Emotet木马。

Emotet木马是分布最广泛的恶意软件之一，通过带有恶意Word文档附件的网络钓鱼电子邮件传播。

这些电子邮件伪装成发票，运输通知，帐户报告，  假日聚会邀请，甚至有关冠状病毒的信息  ，以希望您被诱骗或欺骗来打开附件。

安装后，Emotet将利用受感染的计算机向潜在的受害者发送更多垃圾邮件，并将其他恶意软件下载到计算机上。

Emotet尤其危险，因为它通常下载并安装Trickbot银行木马，该木马会在尝试传播到网络上的其他计算机时窃取已保存的凭据，cookie，浏览器历史记录，SSH密钥等。

如果网络具有高价值，TrickBot还将向Ryuk Ransomware运营商开放反向外壳，后者将对网络进行加密，作为最终的有效负载。

由于其严重性，受害者必须迅速找到并删除Emotet木马，然后才能将其他恶意软件下载并安装到受感染的计算机上，这一点很重要。

使用EmoCheck检查Emotet木马

通过恶意附件安装Emotet时，它将存储在％LocalAppData％下的半随机文件夹中。

它是半随机的，因为它不会使用随机字符，而是使用以下列表中的两个关键字构建的文件夹名称：

duck, mfidl, targets, ptr, khmer, purge, metrics, acc, inet, msra, symbol, driver, sidebar, restore, msg, volume, cards, shext, query, roam, etw, mexico, basic, url, createa, blb, pal, cors, send, devices, radio, bid, format, thrd, taskmgr, timeout, vmd, ctl, bta, shlp, avi, exce, dbt, pfx, rtp, edge, mult, clr, wmistr, ellipse, vol, cyan, ses, guid, wce, wmp, dvb, elem, channel, space, digital, pdeft, violet, thunk

如下所示，Emotet已安装在“ symbolguid”文件夹下。这是上面列表中两个关键字的组合。

要检查您是否感染了Emotet，可以从Japan CERT GitHub存储库下载EmoCheck实用程序。

https://github.com/JPCERTCC/EmoCheck/releases

下载后，解压缩该zip文件，然后根据下载的内容双击emocheck_x64.exe（64位版本）或emocheck_x86.exe（32位版本）。

一旦运行，EmoCheck将扫描Emotet木马并警告您是否被发现，正在运行的进程ID以及恶意文件的位置。

此信息还将保存到位于[emocheck.exe的路径] \ yyyymmddhhmmss_emocheck.txt的日志文件中。

如果您运行EmoCheck并发现自己已被感染，则应立即打开任务管理器并终止列出的过程。

然后，您应该使用信誉良好的防病毒软件扫描计算机，以确保尚未将其他恶意软件下载并安装到计算机上。

对于网络管理员来说，此工具也很有用，它可以用作登录脚本的一部分，以快速查找已感染了Emotet的计算机，以防止全面的勒索软件攻击。