新的EmoCheck工具检查您是否被Emotet感染

<返回列表

日本CERT(计算机紧急响应小组)发布了一个新实用程序,使Windows用户可以轻松检查他们是否感染了Emotet木马。

Emotet木马是分布最广泛的恶意软件之一,通过带有恶意Word文档附件的网络钓鱼电子邮件传播。

这些电子邮件伪装成发票,运输通知,帐户报告,  假日聚会邀请,甚至有关冠状病毒的信息  ,以希望您被诱骗或欺骗来打开附件。

安装后,Emotet将利用受感染的计算机向潜在的受害者发送更多垃圾邮件,并将其他恶意软件下载到计算机上。

Emotet尤其危险,因为它通常下载并安装Trickbot银行木马,该木马会在尝试传播到网络上的其他计算机时窃取已保存的凭据,cookie,浏览器历史记录,SSH密钥等。

如果网络具有高价值,TrickBot还将向Ryuk Ransomware运营商开放反向外壳,后者将对网络进行加密,作为最终的有效负载。

由于其严重性,受害者必须迅速找到并删除Emotet木马,然后才能将其他恶意软件下载并安装到受感染的计算机上,这一点很重要。

使用EmoCheck检查Emotet木马

通过恶意附件安装Emotet时,它将存储在%LocalAppData%下的半随机文件夹中。

它是半随机的,因为它不会使用随机字符,而是使用以下列表中的两个关键字构建的文件夹名称:

duck, mfidl, targets, ptr, khmer, purge, metrics, acc, inet, msra, symbol, driver, sidebar, restore, msg, volume, cards, shext, query, roam, etw, mexico, basic, url, createa, blb, pal, cors, send, devices, radio, bid, format, thrd, taskmgr, timeout, vmd, ctl, bta, shlp, avi, exce, dbt, pfx, rtp, edge, mult, clr, wmistr, ellipse, vol, cyan, ses, guid, wce, wmp, dvb, elem, channel, space, digital, pdeft, violet, thunk

如下所示,Emotet已安装在“ symbolguid”文件夹下。这是上面列表中两个关键字的组合。

要检查您是否感染了Emotet,可以从Japan CERT GitHub存储库下载EmoCheck实用程序。

https://github.com/JPCERTCC/EmoCheck/releases

下载后,解压缩该zip文件,然后根据下载的内容双击emocheck_x64.exe(64位版本)或emocheck_x86.exe(32位版本)。

一旦运行,EmoCheck将扫描Emotet木马并警告您是否被发现,正在运行的进程ID以及恶意文件的位置。

此信息还将保存到位于[emocheck.exe的路径] \ yyyymmddhhmmss_emocheck.txt的日志文件中。

如果您运行EmoCheck并发现自己已被感染,则应立即打开任务管理器并终止列出的过程。

然后,您应该使用信誉良好的防病毒软件扫描计算机,以确保尚未将其他恶意软件下载并安装到计算机上。

对于网络管理员来说,此工具也很有用,它可以用作登录脚本的一部分,以快速查找已感染了Emotet的计算机,以防止全面的勒索软件攻击。

国内免备案VPS301跳转服务器国内免备案服务器域名被墙跳转301,绕过信息安全中心不能放违反法律法规内容!(北京免备案  镇江免备案 江苏免备案 辽宁免备案vps 山东联通免备案) 
分享新闻到:

更多帮助

新的EmoCheck工具检查您是否被Emotet感染

新闻中心 2023-01-10
日本CERT(计算机紧急响应小组)发布了一个新实用程序,使Windows用户可以轻松检查他们是否感...
查看全文

CVE-2020-0674关于微软Internet Explorer浏览器远

新闻中心 2023-01-09
近日,国家信息安全漏洞库(CNNVD)收到关于微软Internet Explorer浏览器远程代码执行漏洞(CNN...
查看全文

关于Oracle WebLogic 多个安全漏洞的通报CV

新闻中心 2023-01-09
  近日,国家信息安全漏洞库(CNNVD)收到关于Oracle Weblogic T3协议安全漏洞(CNNVD-202001-667、CVE...
查看全文