日本 CERT 发布了新版本的 EmoCheck 实用程序,以检测本月开始感染用户的新 64 位版本的 Emotet 恶意软件。
Emotet 是通过电子邮件传播的最活跃的恶意软件之一,使用带有恶意附件的网络钓鱼电子邮件,包括 Word/Excel 文档、 Windows 快捷方式、ISO 文件和受密码保护的 zip 文件。
网络钓鱼电子邮件使用创造性的诱饵来诱骗用户打开附件,包括 回复链电子邮件、发货通知、税务文件、会计报告,甚至 节日派对邀请函。
一旦设备被感染,Emotet 将窃取用户的电子邮件,用于未来的回复链网络钓鱼攻击,并在计算机上下载更多恶意软件有效负载。
由于进一步的恶意软件通常会导致数据盗窃和勒索软件攻击,因此在造成进一步损害之前快速检测 Emotet 恶意软件感染至关重要。
EmoCheck 更新为 64 位版本
2020 年,日本 CERT(计算机应急响应小组)发布了一款名为 EmoCheck 的免费工具,用于扫描计算机以查找 Emotet 感染。
如果检测到一个,它将显示恶意软件感染的完整路径,以便将其删除。
然而,本月早些时候,Emotet 帮派切换到 64 位版本的加载程序和窃取程序,使现有检测变得不那么有用。此外,使用此开关,EmoCheck 工具无法再检测到新的 64 位 Emotet 版本。
本周,JPCERT 发布了 EmoCheck 2.2 以支持新的 64 位版本,现在可以检测它们,如下图所示。
要检查您是否感染了 Emotet,您可以 从日本 CERT 的 GitHub 存储库下载 EmoCheck 实用程序。
下载后,双击 emocheck_x64.exe(64 位版本)或 emocheck_x86.exe(32 位版本),具体取决于您下载的内容
EmoCheck 将扫描 Emotet 木马,如果检测到恶意软件,则显示它正在运行的进程 ID 和恶意软件 DLL 的位置。
Emotet 当前安装在 C:\Users\[username]\AppData\Local 下的随机文件夹中。虽然 Emotet 恶意软件是一个 DLL,但它没有 DLL 扩展名,而是一个随机的三字母扩展名,如 .bbo 或 .qvp。
下面是已安装 Emotet 恶意软件感染的示例。
EmoCheck 还会在包含检测到的信息的程序所在的文件夹中创建一个日志,以便您根据需要引用它。
如果您运行 EmoCheck 并发现您被感染,您应该立即打开任务管理器并终止列出的进程,通常是 regsvr32.exe。
然后,您应该使用受信任的防病毒软件扫描您的计算机,以确保您的设备上尚未安装其他恶意软件。
这个工具对 Windows 管理员来说很方便,他们可以在登录时执行它来检测他们网络上的 Emotet 感染。
推荐阅读
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
