Herramienta para comprobar Malware Emotet
Nueva herramienta denominada EmoCheck que comprueba si el computador está infectado con el Malware Emotet
Un nuevo utilitario ha sido creado por el CERT de Japón, que permite a los usuarios de Windows comprobar fácilmente si están infectados con el troyano Emotet.
El troyano Emotet es uno de los malware más activos que se distribuyen mediante correos phishing con un documento Word adjunto el cual es malicioso. Estos correos pretenden ser noticias o información acerca del Coronavirus, o facturas, a la espera de que los usuarios hagan click en el enlace malicioso, o abran el archivo adjunto.
Una vez instalado el Emotet utilizará el equipo infectado para enviar spam a las víctimas potenciales y descargar otro malware en su víctima. Emotet es peligroso pues descarga e instala comúnmente el troyano bancario “Trickbot”, el cual roba credenciales guardadas, cookies, el historial del navegador, claves SSH mientras intenta propagarse a otros equipos en la red.
Si la red en la que se instala el troyano bancario es de alta utilidad, también abrirá un Shell reverso a los operadores del Ransomware denominado Ryuk, quienes cifrarán la red.
Debido a esta gravedad, es importante que las víctimas encuentren el Malware Emotet, rápidamente y lo eliminen del equipo infectado.
Usando EmoCheck para comprabar si el malware está instalado
Cuando Emotet es instado por un archivo malicioso adjunto, se almacenará en una carpeta semi-aleatoria bajo la carpeta %LocalAppData%.
Es semi-aleatorio porque el nombre de la carpeta es creado a partir de dos palabras claves de la siguiente lista: duck, mfidl, targets, ptr, khmer, purge, metrics, acc, inet, msra, symbol, driver, sidebar, restore, msg, volume, cards, shext, query, roam, etw, mexico, basic, url, createa, blb, pal, cors, send, devices, radio, bid, format, thrd, taskmgr, timeout, vmd, ctl, bta, shlp, avi, exce, dbt, pfx, rtp, edge, mult, clr, wmistr, ellipse, vol, cyan, ses, guid, wce, wmp, dvb, elem, channel, space, digital, pdeft, violet, thunk. Por ejemplo se instalará en el C:\local\simbolguid\simbolguid.exe.
Si sospecha que su equipo está infectado con el Emotet, puede descargar el utilitario creado por el CERT de Japón desde la siguiente dirección: https://github.com/JPCERTCC/EmoCheck/releases
El EmoCheck ha sido ejecutado en un equipo del CSIRT-EPN sin ninguna dificultad.
Cuando se ejecute el EmoCheck buscará el troyano Emotet y le avisará si se encuentra instalado y en que directorio se encuentra ubicado el archivo malicioso y el ID del proceso que lo está ejecutando. Esta información será almacenada en un archivo de registro con extensión txt con el siguiente nombre: ruta de acceso de emocheck.exe]-yyyymmddhhmmss_emocheck.txt.
Si se ejecuta EmoCheck y descubre el archivo infectado, inmediatamente debe abrir el administrador de tareas y finalizar el proceso que está identificado en el archivo con extensión txt. Posteriormente debe ejecutar el antivirus institucional para asegurar que otro Malware no se ha descargado e instalado en el equipo.
Esta herramienta podría ser útil para los administradores de red que podrán utilizarla como parte de un script de inicio de sesión para encontrar rápidamente las máquinas que han sido infectadas con Emotet, evitando así un ataque de Ransomware.
Referencia