Emotet

Emotet说明

Emotet Image

Emotet大约是五年前开始的,是一家银行木马,但如今已经发展了许多。如今,它已成为世界上最危险的僵尸网络和恶意软件丢弃程序之一。为了充分利用这些攻击,Emotet经常丢弃新的银行木马,电子邮件收集器,自我传播机制,信息窃取者,甚至勒索软件。

安全研究人员指出,Emotet背后的威胁行为者于2019年6月开始了一个暑假,其中连指挥与控制(C2)活动都停止了。但是,随着夏季开始得出结论,安全研究人员开始看到Emotet的C2基础架构的活动有所增加。截至2019年9月16日,Emotet已完全依靠社交工程全面开展垃圾邮件运动。

Emotet感染受害者的最巧妙和令人生畏的方式之一是通过电子邮件内容的窃取。该恶意软件会轻扫受害者的收件箱并复制现有对话,然后将其用于自己的电子邮件中。 Emotet会以“回复”方式引用真实邮件的正文,以受害者的未读电子邮件的形式发出,以诱使他们打开带有恶意软件标记的附件,通常以Microsoft Word文档为幌子。

看到有人希望以这种方式欺骗正在进行的对话是不需要多少想象力的。此外,通过模仿现有的电子邮件对话(包括真实的电子邮件内容和主题标头),邮件变得更加随机化,并且很难被反垃圾邮件系统过滤。

有趣的是,Emotet不会使用窃取内容的电子邮件将其发送给潜在的受害者。而是将解除的对话发送到网络中的另一个漫游器,然后再使用完全独立的出站SMTP服务器从完全不同的位置发送电子邮件。

根据安全研究人员的说法,Emotet在夏季中断之前使用了大约8.5%的攻击消息中的窃取电子邮件对话。但是,由于休假季节即将结束,这种策略变得更加突出,几乎占Emotet的所有出站电子邮件流量的四分之一。

总之,随着假期的临近,我们将看到恶意软件感染的增加。正如Cisco Talos的研究人员指出的那样:“当威胁组织保持沉默时,它们永远不会消失的可能性很大,”他详细阐述:“相反,这为威胁组织提供了以新的IOC,战术,技术和方法返回的机会。可以避免现有检测的程序或新的恶意软件变体。”

技术信息

屏幕截图&其他影像

Emotet Image 1 Emotet Image 2

文件系统详情

Emotet创建以下文件:
# 文件名 大小 MD5 检测计数
1 %WINDIR%\syswow64\licensefwdr.exe\licensefwdr.exe 131,072 3391006372b212ba0be34bf9cc47bb15 60
2 c:\users\vtc\downloads\8e8cmlbo6fx_lxfm3xki.exe 582,656 0d87835af614586f70e39e2dfdba1953 41
3 %WINDIR%\system32\guidsdefine.exe\guidsdefine.exe 231,424 8af726850d90d8897096429c8f677fb9 34
4 c:\users\vtc\downloads\xppvz6oh.exe 156,672 e7a1127484bbd79f4de0460ee92836fb 14
5 c:\windows\syswow64\ni6tj3f0c.exe 143,360 865eba9b4ee8e93f500232eae85899f9 14
6 c:\users\vtc\downloads\fcuthenucs_qzfm9unm.exe 230,400 fc620fb26d06a3f15e97fa438e47b4e3 13
7 c:\windows\syswow64\sw1bo.exe 139,264 6957fc973e45d6362c9508297840332c 13
8 c:\users\vtc\downloads\hh_u6zt3e3q_vmytcj.exe 239,616 0c12b6e792d5e395f1d0e8e00f2a906b 9
9 c:\users\vtc\downloads\8lqwejk6.exe 159,744 9ab8c51587e3a46950576c545d917e5f 8
10 c:\windows\syswow64\guidsripple.exe 143,360 954d6e95ef173331841a54b2bacbcd28 8
11 c:\users\vtc\downloads\z7w2_qj.exe 348,160 59dec5b309f882bd3b7b7f4db9de8810 7
12 c:\windows\syswow64\ripplepolic.exe 155,648 d3fe0e7a94cf8a04435ecd85d1a85227 7
13 c:\users\mark\211.exe 139,264 831bbafd3a5596994e3e5407e86a6ab0 6
14 c:\windows\syswow64\s9nevcf77pvpbcahes.exe 139,264 9f6d496199d712df75fea0d4f65a774d 6
15 c:\users\vtc\downloads\9tadwtpw5estit.exe 159,744 b25ec6e225cf6247dcb3810470ae86b7 5
16 C:\ProgramData\სკუმბრია.exe 782,336 35c973fee6e0f6fd1c9486d25d041c83 5
17 C:\ProgramData\ↇↂↂↂ自転車выпLXXX;ↇↂↂↂ;ЧыПبايسکل.exe 548,864 9d7b1ffdd0d6e8e43032b16dabcb52b4 5
18 c:\users\vtc\downloads\fu_nid7mlnsu.exe 151,552 fecc9b87f6adde022e2e7540469d9668 4
19 c:\users\vtc\downloads\td5g1cst.exe 223,232 d42dbba27dc711e5b4a3f4bf83967049 4
20 c:\users\vtc\downloads\cvedvfdyaj.exe 232,960 e60048bfaab06dcab844454c33ad5491 4
21 c:\users\vtc\downloads\aizz7dugmz_ddw.exe 241,152 149f8faf3bb1c3cbd1207c133715a480 2
22 c:\users\vtc\downloads\h7kg8jsthbc.exe 224,768 c6c70da245a63f7ae7052ebac3fb76c6 2
23 c:\users\vtc\downloads\troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe 403,456 536d98819ef25d5452ef802d4541bb46 1
24 c:\users\julius\downloads\bc117e6ae77ef72ad0131990943d7a8b3570f0eb9fbe9a7a41e7e43711e5f763.crdownload 409,600 83e70065bf06162895e73ce43f4fdb19 1
25 c:\users\julius\downloads\eb7f8d53312376570fbd1385b45d1ff3fab6faadfba6c3a3a6c9d30c5e31bb4d.crdownload 339,968 1f4a1df52756bd6ea855b47f039836ee 1
26 c:\users\julius\downloads\1be6989616522d6ae9b3c301e5f51f0ac0313dfc8497958c616a307cd09657fc.crdownload 339,968 991bd07e70c478affb777a3728942591 1
27 c:\users\julius\downloads\aba5311be7e0dfbfefdd1f545a701b4e81c9ad8790af6f58f827e6b54f3454e5.crdownload 409,600 a4d00e6314149af840bbbf7a70bf1170 1
28 c:\users\julius\downloads\a9a90901ee38e8a232e253f00b9fc9c0f0f58620ef6b7692e6dc7342a7317c1d.crdownload 409,600 6f68c6733db5e38ba4cd82d12e683696 1
29 C:\Windows\11987416.exe 不适用
30 C:\Windows\System32\46615275.exe 不适用
31 C:\Windows\System32\shedaudio.exe 不适用
32 C:\Windows\SysWOW64\f9jwqSbS.exe 不适用
33 C:\Users\\AppData \Local\Microsoft\Windows\shedaudio.exe 不适用
34 C:\Users\\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe 不适用
更多文件

注册表详情

Emotet创建以下注册表条目:
Regexp file mask
%APPDATA%\microsoft\vhmjoh\vhmjo.exe
%APPDATA%\SetingSync64.exe
%WINDIR%\System32\sysnet.exe
%WINDIR%\SysWOW64\HawaiiAppointment.exe
%WINDIR%\SysWOW64\nvapp.exe
%WINDIR%\SysWOW64\policsource.exe
%WINDIR%\SysWOW64\slsbthpan.exe

网站免责声明

Enigmasoftware.com与本文提到的恶意软件创建者或发行者没有关联、赞助或拥有。不要以任何方式将本文与推广或认可恶意软件相关联,将其误解或混淆。我们的目的是提供信息,以指导计算机用户如何借助SpyHunter和/或本文提供的手动删除说明来检测并最终从计算机中删除恶意软件。

本文按“原样”提供,仅用于教育信息。按照本文的任何说明进行操作,即表示您同意受免责声明的约束。我们不保证本文将帮助您完全消除计算机上的恶意软件威胁。间谍软件定期更改,因此,很难通过手动方式完全清洁受感染的计算机。

发表评论

请不要将此评论系统用于支持或结算问题。 若要获取SpyHunter技术支持,请通过SpyHunter打开技术支持问题直接联系我们的技术团队。 有关结算问题,请参考“结算问题?”页面。 有关一般查询(投诉,法律,媒体,营销,版权),请访问我们的"查询和反馈"页面。