Alert!

EmoCheck: Neues Tool kann Emotet-Infektionen aufspüren

Das Japan CERT hat ein kostenloses Windows-Tool veröffentlicht, das nach Emotet spezifischen Prozessen Ausschau hält.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 114 Beiträge

(Bild: dpa, Sebastian Kahnert/Illustration)

Von

Die hoch entwickelte Malware Emotet schlägt immer wieder zu und hält weltweit Admins in Atem. Wohl dem, der eine Infektion frühzeitig erkennt und so Schlimmeres verhindern kann. Das vom Japan CERT veröffentlichte Windows-Prüftool EmoCheck kann bei der Früherkennung helfen.

Wer seinen Computer überprüfen möchte, kann EmoCheck kostenlos auf Github herunterladen. Wie der Projektseite zu entnehmen ist, kommt das Tool in einer ausführbaren Datei in einer x86- und x64-Variante daher. Es soll mit Windows 7 SP1 und 8.1 und 10 kompatibel sein. Unter Windows 8.1 und 10 funktioniert EmoCheck ausschließlich in der 64-Bit-Variante. Auf der Projektseite kann man auch den Quellcode einsehen.

Hier hat EmoCheck die Datei khmerbid.exe als Emotet-Prozess identifiziert. Diese Datei sollte man schleunigst isolieren oder löschen.

Von Emotet initiierte Windows-Prozesse benennt die Malware nach einem festen Schema. Dafür greift sie auf ein spezifisches Wörterbuch und die Seriennummer der System-Festplatte C zurück. Um eine Infektion festzustellen, scannt das Tool laufende Windows-Prozesse und klopft diese auf das Namensschema ab.

Bei einem Treffer listet EmoCheck im Zusammenhang mit Emotet stehende ausführbare Dateien inklusive Dateipfad auf. Diese Dateien sollte man dann zügig isolieren oder löschen.

Das rechtzeitige Erkennen einer Emotet-Infektion kann durchaus den entscheidenden Unterschied zwischen einem heftigen IT-Security-Vorfall und dem finanziellen Ruin bedeuten. Denn typischerweise vergehen zwischen der ersten Emotet-Infektion in einem Firmennetz und dem Verteilen des Erpressungs-Trojaners Ryuk ein bis zwei Wochen.

Wer also wie die heise Medien GmbH oder das Kammergericht Berlin eine Infektion innerhalb der ersten Woche entdeckt und seine Internet-Verbindung kappt, hat gute Chancen, das Verschlüsseln wichtiger Daten zu verhindern. Die beiden Fälle zeigen aber auch, dass allein die Ausbreitung des Schädlings im Firmennetz verbunden mit dem Nachladen weiterer Schadprogramme bereits zu beträchtlichen Schäden führen kann.

Emotet ist eine äußerst fortschrittliche Malware, die nach einer Infektion weitere Komponenten wie Erpressungstrojaner nachladen kann. In erster Linie ist Emotet auf der Jagd nach Zugangsdaten, Cookies und SSH-Schlüsseln, um sich weiter in Netzwerken auszubreiten und einzunisten.

Siehe dazu auch:

(des)