• 0761 40137 0
  • info@netcons-gmbh.de
  • Bötzinger Strasse 29A, 79111 Freiburg

Neues Tool kann Emotet-Infektionen aufspüren

ncfix content
Das Japan CERT hat ein kostenloses Windows-Tool veröffentlicht, das nach Emotet spezifischen Prozessen Ausschau hält.

Die hoch entwickelte Malware Emotet schlägt immer wieder zu und hält weltweit Admins in Atem. Wohl dem, der eine Infektion frühzeitig erkennt und so Schlimmeres verhindern kann. Das vom Japan CERT veröffentlichte Windows-Prüftool EmoCheck kann bei der Früherkennung helfen.

Wer seinen Computer überprüfen möchte, kann EmoCheck kostenlos auf Github herunterladen. Wie der Projektseite zu entnehmen ist, kommt das Tool in einer ausführbaren Datei in einer x86- und x64-Variante daher. Es soll mit Windows 7 SP1 und 8.1 und 10 kompatibel sein. Unter Windows 8.1 und 10 funktioniert EmoCheck ausschließlich in der 64-Bit-Variante. Auf der Projektseite kann man auch den Quellcode einsehen.

Von Emotet initiierte Windows-Prozesse benennt die Malware nach einem festen Schema. Dafür greift sie auf ein spezifisches Wörterbuch und die Seriennummer der System-Festplatte C zurück. Um eine Infektion festzustellen, scannt das Tool laufende Windows-Prozesse und klopft diese auf das Namensschema ab.

Bei einem Treffer listet EmoCheck im Zusammenhang mit Emotet stehende ausführbare Dateien inklusive Dateipfad auf. Diese Dateien sollte man dann zügig isolieren oder löschen.

Das rechtzeitige Erkennen einer Emotet-Infektion kann durchaus den entscheidenden Unterschied zwischen einem heftigen IT-Security-Vorfall und dem finanziellen Ruin bedeuten. Denn typischerweise vergehen zwischen der ersten Emotet-Infektion in einem Firmennetz und dem Verteilen des Erpressungs-Trojaners Ryuk ein bis zwei Wochen.

Wer also wie die heise Medien GmbH oder das Kammergericht Berlin eine Infektion innerhalb der ersten Woche entdeckt und seine Internet-Verbindung kappt, hat gute Chancen, das Verschlüsseln wichtiger Daten zu verhindern. Die beiden Fälle zeigen aber auch, dass allein die Ausbreitung des Schädlings im Firmennetz verbunden mit dem Nachladen weiterer Schadprogramme bereits zu beträchtlichen Schäden führen kann.

Emotet ist eine äußerst fortschrittliche Malware, die nach einer Infektion weitere Komponenten wie Erpressungstrojaner nachladen kann. In erster Linie ist Emotet auf der Jagd nach Zugangsdaten, Cookies und SSH-Schlüsseln, um sich weiter in Netzwerken auszubreiten und einzunisten.

 

Quelle: heise.de

 

Update 10.02.2020

Emotet: Erster Hase-Igel-Loop für EmoCheck

Eine neue Emotet-Version machte ein erstes Update des Erkennungs-Tools EmoCheck fällig.

Nach der Veröffentlichung des Emotet-Test-Tools durch das Japanische CERT reagierten die Emotet-Macher mit einer neuen Version des Schädlings, bei der sie die Routinen zur Erzeugung von Namen änderten. Daraufhin aktualisierte JPCERT/CC EmoCheck so, dass es die neuen Namen der Emotet-Dateien und Prozesse wieder erkennt.

Emotet speichert aktuell den Namen des aktiven Trojaner-Prozesses in einem bestimmten Registry-Key. EmoCheck v.0.0.2 liest diesen aus und sucht in der Liste der Prozesse danach.
 

Das Erkennen von charakteristischen Zeichenketten ist kein verlässlicher Mechanismus zum Schutz vor Emotet. Aktuelle Versionen des Schädlings werden solche Funktionen immer wieder unterlaufen.

So taugt EmoCheck bestenfalls als kruder Schnelltest, um bereits (mit alten Emotet-Versionen) infizierte Systeme aufzuspüren. Aber auch dabei kann man sich nicht wirklich auf das Ergebnis verlassen: Schon eine Aussage wie "dieses System ist sauber" lässt sich damit nicht treffen.

Quelle: heise.de