Emotet: Erster Hase-Igel-Loop für EmoCheck

Eine neue Emotet-Version machte ein erstes Update des Erkennungs-Tools EmoCheck fällig.

In Pocket speichern vorlesen Druckansicht 33 Kommentare lesen
Erster Hase-Igel-Loop für EmoCheck

(Bild: Der Hase und der Igel, Illustration von Heinrich Leutemann oder Carl Offterdinger, public domain)

Lesezeit: 1 Min.

Nach der Veröffentlichung des Emotet-Test-Tools durch das Japanische CERT reagierten die Emotet-Macher mit einer neuen Version des Schädlings, bei der sie die Routinen zur Erzeugung von Namen änderten. Daraufhin aktualisierte JPCERT/CC EmoCheck so, dass es die neuen Namen der Emotet-Dateien und Prozesse wieder erkennt.

Emotet speichert aktuell den Namen des aktiven Trojaner-Prozesses in einem bestimmten Registry-Key. EmoCheck v.0.0.2 liest diesen aus und sucht in der Liste der Prozesse danach. Anschließend gibt es eine Warnung wie diese aus:

[Result]
Detected Emotet process.

[Emotet Process]
Process Name : mstask.exe
Process ID : 716
Image Path : C:\Users\[username]\AppData\Local\mstask.exe
____________________________________________________

Please remove or isolate the suspicious execution file.

Das Erkennen von charakteristischen Zeichenketten ist kein verlässlicher Mechanismus zum Schutz vor Emotet. Aktuelle Versionen des Schädlings werden solche Funktionen immer wieder unterlaufen.

So taugt EmoCheck bestenfalls als kruder Schnelltest, um bereits (mit alten Emotet-Versionen) infizierte Systeme aufzuspüren. Aber auch dabei kann man sich nicht wirklich auf das Ergebnis verlassen: Schon eine Aussage wie "dieses System ist sauber" lässt sich damit nicht treffen.

Zu aktuellen Berichten, Hintergrund-Informationen und Abhilfe gegen Emotet siehe:

(ju)