Utilitário EmoCheck desenvolvido pelo Japan CERT permite aos usuários do sistema operacional Windows verificar facilmente se estão infectados pelo trojan
Um novo utilitário desenvolvido pelo Japan CERT, centro de coordenação da equipe de resposta a emergências de computadores do país, permite aos usuários do sistema operacional Windows verificar facilmente se estão infectados pelo Emotet. O trojan é um dos malwares mais ativamente distribuídos, espalhado por e-mails de phishing com anexos de documentos maliciosos do MS-Word.
Esses e-mails fingem ser faturas, avisos de entrega, relatórios de contas, convites para festas e até mesmo informações sobre o coronavírus com intuito de levar a vítima a abrir o anexo. Uma vez instalado, o Emotet utiliza o computador infectado para enviar mais spam a possíveis vítimas e baixar outros malwares no computador.
O Emotet é particularmente perigoso, pois geralmente baixa e instala o trojan bancário Trickbot, que rouba credenciais salvas, cookies, histórico do navegador, chaves SSH (Secure Socket Shell) e muito mais, enquanto tenta se espalhar para outros computadores na rede. Se a rede for de alto valor, o Trickbot também abrirá um shell reverso para os operadores do ransomware Ryuk, que criptografarão a rede como uma carga útil final.
Devido à sua gravidade, é importante que as vítimas encontrem e removam rapidamente o trojan Emotet antes que ele possa baixar e instalar outros malwares em um computador infectado.
Quando o Emotet é instalado por um anexo malicioso, ele é armazenado em uma pasta semialeatória em %LocalAppData%. É semialeatório porque não usará caracteres aleatórios, mas um nome de pasta criado com duas palavras-chave da lista a seguir:
pato, mfidl, alvos, ptr, khmer, purga, métricas, acc, inet, msra, símbolo, motorista, barra lateral, restauração, msg, volume, cartões, shext, consulta, roam, etw, méxico, básico, url, createa, blb, pal, cors, send, devices, radio, bid, format, thrd, taskmgr, timeout, vmd, ctl, bta, shlp, avi, exc, dbt, pfx, rtp, edge, mult, clr, wmistr, elipse, vol, ciano, ses, guid, wce, elem, canal, espaço, espaço, violeta, thunk
Como você pode ver abaixo, o Emotet foi instalado na pasta ‘symbolguid’. que é uma combinação de duas das palavras-chave da lista acima.
Para verificar se o seu computador está infectado pelo Emotet, é possível baixar o utilitário EmoCheck no repositório Japan CERT GitHub. Após o download, extraia o arquivo zip e clique duas vezes no emocheck_x64.exe (versão de 64 bits) ou emocheck_x86.exe (versão de 32 bits), dependendo do que o usuário baixou.
Depois de executado, o EmoCheck procurará o Emotet e o alertará se for encontrado, em qual ID do processo ele está sendo executado e o local do arquivo malicioso.
Se executar o EmoCheck e descobrir que está infectado, abra imediatamente o Gerenciador de Tarefas e encerre o processo listado. O usuário deve verificar o seu computador com software antivírus para garantir que outros malwares ainda não tenham sido baixados e instalados no PC. Essa ferramenta também pode ser útil para os administradores de rede usarem como parte de um script de logon para encontrar rapidamente máquinas que foram infectadas pelo Emotet para evitar um ataque de ransomware completo.
