Una nuova utility è stata rilasciata dal Japan CERT (team nipponico di risposta alle emergenze informatiche): questa consente agli utenti di Windows di verificare facilmente se sono stati infettati da Emotet, il potente e famoso trojan che di recente ha persino utilizzato a suo vantaggio la paura per la pandemia del coronavirus per infettare i terminali (fra gli altri) di utenti giapponesi, travestendosi da allegato a finte mail del servizio sanitario. Emotet è uno dei malware più largamente distribuiti e, come appunto nel caso appena menzionato, si diffonde attraverso e-mail di phishing con allegati di documenti Word dannosi. Questi file Word, in genere, sono spacciati come fatture, avvisi di spedizione, resoconti di conto corrente, inviti per feste e persino informazioni sanitarie nella speranza che l’utente bersaglio venga attirato ad aprire l’allegato, infettando così il proprio computer.

La diffusione di Emotet è garantita dal fatto che una volta installato, questi utilizzerà il dispositivo infetto per inviare ulteriore spam ad altre potenziali vittime, e anche per scaricare altri malware sul computer peggiorando la situazione. Emotet è particolarmente pericoloso in quanto scarica e installa comunemente il Trojan bancario Trickbot, che ruba credenziali salvate, cookie, cronologia del browser, chiavi SSH e altro mentre tenta di diffondersi ad altri computer sulla rete esattamente come Emotet. Data la sua enorme gravità, è importante che le vittime dell’attacco individuino e rimuovano rapidamente Emotet prima che possa scaricare e installare altri malware sul computer infetto.

Quando Emotet viene installato da un allegato dannoso, verrà archiviato in una cartella “semi-casuale” al percorso “%LocalAppData%”. La cartella è definita semi-casuale perché non utilizzerà caratteri casuali, ma piuttosto un nome di cartella composto da due parole chiave estratte casualmente dal seguente elenco: duck, mfidl, target, ptr, khmer, purge, metrics, acc, inet, msra, symbol, driver, sidebar, restore, msg, volume, cards, shext, query, roam, etw, mexico, basic, url, createa, blb, pal, cors, send, devices, radio, bid, format, thrd, taskmgr, timeout, vmd, ctl, bta, shlp, avi, exce, dbt, pfx, rtp, edge, mult, clr, wmistr, ellipse, vol, cian, ses, guid, wce, wmp, dvb, elem, channel, space, digital, pdeft, violet, thunk.

Per verificare se si è stati infettati da Emotet, ora è possibile scaricare l’utility EmoCheck dalla repository GitHub di Japan CERT, a questo indirizzo: https://github.com/JPCERTCC/EmoCheck. Una volta scaricato, estrarre il file zip e fare doppio clic su emocheck_x64.exe (versione a 64 bit) o ​​emocheck_x86.exe (versione a 32 bit) a seconda del sistema operativo di cui si dispone.

Una volta in esecuzione, EmoCheck cercherà il Trojan Emotet e, oltre ad avvisare l’utente qualora riscontrasse l’infezione, comunicherà anche quale “ID processo” è in esecuzione e la posizione esatta del file dannoso.

Queste informazioni verranno inoltre salvate in un file di registro situato in [percorso di emocheck.exe] \ yyyymmddhhmmss_emocheck.txt.

Segui la nostra pagina Facebook per rimanere sempre aggiornato sulle ultime novità

Se esegui EmoCheck e scopri di essere infetto, dovresti disconnetterti subito dalla rete ed avvisare il team di Incident Response.

Se sei un privato, dopo esserti disconnesso dalla rete, devi aprire immediatamente Task Manager e terminare il processo individuato. È quindi necessario, date le caratteristiche di Emotet, eseguire la scansione completa del computer con un software antivirus affidabile per assicurarsi che altri malware non siano già stati scaricati e installati sul computer dallo stesso.

Questo strumento, peraltro, potrebbe anche essere utile per gli amministratori di rete da utilizzare come parte di uno script di accesso per trovare rapidamente eventuali altri device che sono stati infettati da Emotet al fine di prevenire un attacco ransomware sulla propria infrastruttura.

Naturalmente è sempre valido il processo “scrotched earth” ovvero “terra bruciata”, nel quale è previsto di installare da zero il device infettato, e eseguire il restore dei file precedentemente backuppati.

Supporta il nostro blog -> Clicca mi piace sulla pagina facebook e iscriviti alla newsletter

Tweet