esenfrdeitptru

Herramienta para comprobar Malware Emotet

Nueva herramienta denominada EmoCheck que comprueba si el computador está infectado con el Malware Emotet

Un nuevo utilitario ha sido creado por el CERT de Japón, que permite a los usuarios de Windows comprobar fácilmente si están infectados con el troyano Emotet.

El troyano Emotet es uno de los malware más activos que se distribuyen mediante correos phishing con un documento Word adjunto el cual es malicioso. Estos correos pretenden ser noticias o información acerca del Coronavirus, o facturas, a la espera de que los usuarios hagan click en el enlace malicioso, o abran el archivo adjunto.

Una vez instalado el Emotet utilizará el equipo infectado para enviar spam a las víctimas potenciales y descargar otro malware en su víctima. Emotet es peligroso pues descarga e instala comúnmente el troyano bancario “Trickbot”, el cual roba credenciales guardadas, cookies, el historial del navegador, claves SSH mientras intenta propagarse a otros equipos en la red.

Si la red en la que se instala el troyano bancario es de alta utilidad, también abrirá un Shell reverso a los operadores del Ransomware denominado Ryuk, quienes cifrarán la red.

Debido a esta gravedad, es importante que las víctimas encuentren el Malware Emotet, rápidamente y lo eliminen del equipo infectado.

Usando EmoCheck para comprabar si el malware está instalado

Cuando Emotet es instado por un archivo malicioso adjunto, se almacenará en una carpeta semi-aleatoria bajo la carpeta %LocalAppData%.

Es semi-aleatorio porque el nombre de la carpeta es creado a partir de dos palabras claves de la siguiente lista: duck, mfidl, targets, ptr, khmer, purge, metrics, acc, inet, msra, symbol, driver, sidebar, restore, msg, volume, cards, shext, query, roam, etw, mexico, basic, url, createa, blb, pal, cors, send, devices, radio, bid, format, thrd, taskmgr, timeout, vmd, ctl, bta, shlp, avi, exce, dbt, pfx, rtp, edge, mult, clr, wmistr, ellipse, vol, cyan, ses, guid, wce, wmp, dvb, elem, channel, space, digital, pdeft, violet, thunk. Por ejemplo se instalará en el C:\local\simbolguid\simbolguid.exe.

Si sospecha que su equipo está infectado con el Emotet, puede descargar el utilitario creado por el CERT de Japón desde la siguiente dirección: https://github.com/JPCERTCC/EmoCheck/releases

El EmoCheck ha sido ejecutado en un equipo del CSIRT-EPN sin ninguna dificultad.

Cuando se ejecute el EmoCheck buscará el troyano Emotet y le avisará si se encuentra instalado y en que directorio se encuentra ubicado el archivo malicioso y el ID del proceso que lo está ejecutando. Esta información será almacenada en un archivo de registro con extensión txt con el siguiente nombre: ruta de acceso de emocheck.exe]-yyyymmddhhmmss_emocheck.txt.

Si se ejecuta EmoCheck y descubre el archivo infectado, inmediatamente debe abrir el administrador de tareas y finalizar el proceso que está identificado en el archivo con extensión txt. Posteriormente debe ejecutar el antivirus institucional para asegurar que otro Malware no se ha descargado e instalado en el equipo.

Esta herramienta podría ser útil para los administradores de red que podrán utilizarla como parte de un script de inicio de sesión para encontrar rápidamente las máquinas que han sido infectadas con Emotet, evitando así un ataque de Ransomware.

Referencia

https://www.bleepingcomputer.com/news/security/new-emocheck-tool-checks-if-youre-infected-with-emotet/

Tlp Clear 2023

Cómo Citarnos

Castellano: CSIRTEPN - Grupo  Respuesta a Incidentes de Seguridad de la Escuela Politécnica Nacional

Otro idioma: CSIRTEPN – National Polytechnic School Computer Emergency Response Team

Concepto de incidente

“Evento inesperado que compromete la operación de un sistema y su información, amenazando la confidencialidad, integridad o disponibilidad”

Ver Lista de incidentes

Contáctenos

Para contactarse con nosotros y resolver tus dudas o inquietudes, escríbenos a:

Correo:team@csirt-epn.edu.ec

Dirección: Madrid y Toledo Edificio No. 27, Ex Junior College

Planta Baja 

Teléfono: (+593) 22976300 Ext. 1436, 1452, 1453

Horario de Atención: De lunes a Viernes de 8H00 - 17H00

 

Reportar Incidente

Puedes reportar tu incidente de los siguiente forma:

Escribenos al correo: gestion.incidentes@csirt-epn.edu.ec

Comunícate con nostros al: (593) 2 2976 300 ext 1452 1453

Repórtalo desde nuestro formulario aquí

No olvides incluir:

  • Nombres completos.
  • Correo electrónico
  • Teléfono – extensión
  • Dependencia-oficina
  • Comentario del incidente