Emotet: Erster Hase-Igel-Loop für EmoCheck

Nach der Veröffentlichung des Emotet-Test-Tools durch das Japanische CERT reagierten die Emotet-Macher mit einer neuen Version des Schädlings, bei der sie die Routinen zur Erzeugung von Namen änderten. Daraufhin aktualisierte JPCERT/CC EmoCheck so, dass es die neuen Namen der Emotet-Dateien und Prozesse wieder erkennt.

Emotet speichert aktuell den Namen des aktiven Trojaner-Prozesses in einem bestimmten Registry-Key. EmoCheck v.0.0.2 liest diesen aus und sucht in der Liste der Prozesse danach. Anschließend gibt es eine Warnung wie diese aus:

[Result]
Detected Emotet process.

[Emotet Process]
     Process Name  : mstask.exe
     Process ID    : 716
     Image Path    : C:\Users\[username]\AppData\Local\mstask.exe
____________________________________________________

Please remove or isolate the suspicious execution file.

Schlechte Erkennung, kein Schutz

Das Erkennen von charakteristischen Zeichenketten ist kein verlässlicher Mechanismus zum Schutz vor Emotet. Aktuelle Versionen des Schädlings werden solche Funktionen immer wieder unterlaufen.

So taugt EmoCheck bestenfalls als kruder Schnelltest, um bereits (mit alten Emotet-Versionen) infizierte Systeme aufzuspüren. Aber auch dabei kann man sich nicht wirklich auf das Ergebnis verlassen: Schon eine Aussage wie "dieses System ist sauber" lässt sich damit nicht treffen.

Zu aktuellen Berichten, Hintergrund-Informationen und Abhilfe gegen Emotet siehe:

• Emotet – Schadsoftware zielt auf Unternehmens-IT
• Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail
• heise-Security-Webinar: Emotet bei Heise - Lernen aus unseren Fehlern
  

(ju)