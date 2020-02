Nach der Veröffentlichung des Emotet-Test-Tools durch das Japanische CERT reagierten die Emotet-Macher mit einer neuen Version des Schädlings, bei der sie die Routinen zur Erzeugung von Namen änderten. Daraufhin aktualisierte JPCERT/CC EmoCheck so, dass es die neuen Namen der Emotet-Dateien und Prozesse wieder erkennt.

Emotet speichert aktuell den Namen des aktiven Trojaner-Prozesses in einem bestimmten Registry-Key. EmoCheck v.0.0.2 liest diesen aus und sucht in der Liste der Prozesse danach. Anschließend gibt es eine Warnung wie diese aus:

[Result]

Detected Emotet process.



[Emotet Process]

Process Name : mstask.exe

Process ID : 716

Image Path : C:\Users\[username]\AppData\Local\mstask.exe

____________________________________________________



Please remove or isolate the suspicious execution file.

Schlechte Erkennung, kein Schutz

Das Erkennen von charakteristischen Zeichenketten ist kein verlässlicher Mechanismus zum Schutz vor Emotet. Aktuelle Versionen des Schädlings werden solche Funktionen immer wieder unterlaufen.

So taugt EmoCheck bestenfalls als kruder Schnelltest, um bereits (mit alten Emotet-Versionen) infizierte Systeme aufzuspüren. Aber auch dabei kann man sich nicht wirklich auf das Ergebnis verlassen: Schon eine Aussage wie "dieses System ist sauber" lässt sich damit nicht treffen.

Zu aktuellen Berichten, Hintergrund-Informationen und Abhilfe gegen Emotet siehe:



