Emotet

威胁评分卡

排行: 9,175
威胁级别: 80 % (高的)
受感染的计算机: 4,853
初见: June 28, 2014
最后一次露面: September 8, 2023
受影响的操作系统: Windows

Emotet大约是五年前开始的,是一家银行木马,但如今已经发展了许多。如今,它已成为世界上最危险的僵尸网络和恶意软件丢弃程序之一。为了充分利用这些攻击,Emotet经常丢弃新的银行木马,电子邮件收集器,自我传播机制,信息窃取者,甚至勒索软件。

安全研究人员指出,Emotet背后的威胁行为者于2019年6月开始了一个暑假,其中连指挥与控制(C2)活动都停止了。但是,随着夏季开始得出结论,安全研究人员开始看到Emotet的C2基础架构的活动有所增加。截至2019年9月16日,Emotet已完全依靠社交工程全面开展垃圾邮件运动。

Emotet感染受害者的最巧妙和令人生畏的方式之一是通过电子邮件内容的窃取。该恶意软件会轻扫受害者的收件箱并复制现有对话,然后将其用于自己的电子邮件中。 Emotet会以“回复”方式引用真实邮件的正文,以受害者的未读电子邮件的形式发出,以诱使他们打开带有恶意软件标记的附件,通常以Microsoft Word文档为幌子。

看到有人希望以这种方式欺骗正在进行的对话是不需要多少想象力的。此外,通过模仿现有的电子邮件对话(包括真实的电子邮件内容和主题标头),邮件变得更加随机化,并且很难被反垃圾邮件系统过滤。

有趣的是,Emotet不会使用窃取内容的电子邮件将其发送给潜在的受害者。而是将解除的对话发送到网络中的另一个漫游器,然后再使用完全独立的出站SMTP服务器从完全不同的位置发送电子邮件。

根据安全研究人员的说法,Emotet在夏季中断之前使用了大约8.5%的攻击消息中的窃取电子邮件对话。但是,由于休假季节即将结束,这种策略变得更加突出,几乎占Emotet的所有出站电子邮件流量的四分之一。

总之,随着假期的临近,我们将看到恶意软件感染的增加。正如Cisco Talos的研究人员指出的那样:“当威胁组织保持沉默时,它们永远不会消失的可能性很大,”他详细阐述:“相反,这为威胁组织提供了以新的IOC,战术,技术和方法返回的机会。可以避免现有检测的程序或新的恶意软件变体。”

SpyHunter 检测并删除 Emotet

Emotet 截图

emotet trojan horse
emotet infection rates
emotet trojan horse infection process

文件系统详情

Emotet 可能会创建以下文件:
# 文件名 MD5 检测
1. licensefwdr.exe 3391006372b212ba0be34bf9cc47bb15 62
2. 8e8cmlbo6fx_lxfm3xki.exe 0d87835af614586f70e39e2dfdba1953 41
3. guidsdefine.exe 8af726850d90d8897096429c8f677fb9 34
4. ni6tj3f0c.exe 865eba9b4ee8e93f500232eae85899f9 14
5. fcuthenucs_qzfm9unm.exe fc620fb26d06a3f15e97fa438e47b4e3 13
6. sw1bo.exe 6957fc973e45d6362c9508297840332c 13
7. hh_u6zt3e3q_vmytcj.exe 0c12b6e792d5e395f1d0e8e00f2a906b 9
8. 8lqwejk6.exe 9ab8c51587e3a46950576c545d917e5f 8
9. guidsripple.exe 954d6e95ef173331841a54b2bacbcd28 8
10. z7w2_qj.exe 59dec5b309f882bd3b7b7f4db9de8810 7
11. file.exe 110c1f03f6cea56bbc5aea62e9705d24 7
12. ripplepolic.exe d3fe0e7a94cf8a04435ecd85d1a85227 7
13. BA1E.tmp b25ec6e225cf6247dcb3810470ae86b7 6
14. 211.exe 831bbafd3a5596994e3e5407e86a6ab0 6
15. s9nevcf77pvpbcahes.exe 9f6d496199d712df75fea0d4f65a774d 6
16. სკუმბრია.exe 35c973fee6e0f6fd1c9486d25d041c83 5
17. ↇↂↂↂ自転車выпLXXX;ↇↂↂↂ;ЧыПبايسکل.exe 9d7b1ffdd0d6e8e43032b16dabcb52b4 5
18. fu_nid7mlnsu.exe fecc9b87f6adde022e2e7540469d9668 4
19. td5g1cst.exe d42dbba27dc711e5b4a3f4bf83967049 4
20. cvedvfdyaj.exe e60048bfaab06dcab844454c33ad5491 4
21. aizz7dugmz_ddw.exe 149f8faf3bb1c3cbd1207c133715a480 2
22. h7kg8jsthbc.exe c6c70da245a63f7ae7052ebac3fb76c6 2
23. troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe 536d98819ef25d5452ef802d4541bb46 1
24. bc117e6ae77ef72ad0131990943d7a8b3570f0eb9fbe9a7a41e7e43711e5f763.crdownload 83e70065bf06162895e73ce43f4fdb19 1
25. eb7f8d53312376570fbd1385b45d1ff3fab6faadfba6c3a3a6c9d30c5e31bb4d.crdownload 1f4a1df52756bd6ea855b47f039836ee 1
26. 1be6989616522d6ae9b3c301e5f51f0ac0313dfc8497958c616a307cd09657fc.crdownload 991bd07e70c478affb777a3728942591 1
27. aba5311be7e0dfbfefdd1f545a701b4e81c9ad8790af6f58f827e6b54f3454e5.crdownload a4d00e6314149af840bbbf7a70bf1170 1
28. a9a90901ee38e8a232e253f00b9fc9c0f0f58620ef6b7692e6dc7342a7317c1d.crdownload 6f68c6733db5e38ba4cd82d12e683696 1
29. C:\Windows\11987416.exe
30. C:\Windows\System32\46615275.exe
31. C:\Windows\System32\shedaudio.exe
32. C:\Windows\SysWOW64\f9jwqSbS.exe
33. C:\Users\\AppData \Local\Microsoft\Windows\shedaudio.exe
34. C:\Users\\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe
更多文件

注册表详情

Emotet 可能会创建以下注册表项或注册表项:
Regexp file mask
%APPDATA%\microsoft\vhmjoh\vhmjo.exe
%APPDATA%\SetingSync64.exe
%WINDIR%\System32\sysnet.exe
%WINDIR%\SysWOW64\HawaiiAppointment.exe
%WINDIR%\SysWOW64\nvapp.exe
%WINDIR%\SysWOW64\policsource.exe
%WINDIR%\SysWOW64\slsbthpan.exe

趋势

最受关注

正在加载...