Emotet說明
Emotet大約是五年前開始的,是一家銀行木馬,但如今已經發展了許多。如今,它已成為世界上最危險的殭屍網絡和惡意軟件丟棄程序之一。為了充分利用這些攻擊,Emotet經常丟棄新的銀行木馬,電子郵件收集器,自我傳播機制,信息竊取者,甚至勒索軟件。
安全研究人員指出,Emotet背後的威脅行為者於2019年6月開始了一個暑假,其中連指揮與控制(C2)活動都停止了。但是,隨著夏季開始得出結論,安全研究人員開始看到Emotet的C2基礎架構的活動有所增加。截至2019年9月16日,Emotet已完全依靠社交工程全面開展垃圾郵件運動。
Emotet感染受害者的最巧妙和令人生畏的方式之一是通過電子郵件內容的竊取。該惡意軟件會輕掃受害者的收件箱並複制現有對話,然後將其用於自己的電子郵件中。 Emotet會以“回复”方式引用真實郵件的正文,以受害者的未讀電子郵件的形式發出,以誘使他們打開帶有惡意軟件標記的附件,通常以Microsoft Word文檔為幌子。
看到有人希望以這種方式欺騙正在進行的對話是不需要多少想像力的。此外,通過模仿現有的電子郵件對話(包括真實的電子郵件內容和主題標頭),郵件變得更加隨機化,並且很難被反垃圾郵件系統過濾。
有趣的是,Emotet不會使用竊取內容的電子郵件將其發送給潛在的受害者。而是將解除的對話發送到網絡中的另一個漫遊器,然後再使用完全獨立的出站SMTP服務器從完全不同的位置發送電子郵件。
根據安全研究人員的說法,Emotet在夏季中斷之前使用了大約8.5%的攻擊消息中的竊取電子郵件對話。但是,由於假期結束了,這種策略變得更加突出,幾乎佔Emotet的所有出站電子郵件流量的四分之一。
總之,隨著假期的臨近,我們將看到惡意軟件感染的增加。正如Cisco Talos的研究人員指出的那樣:“當威脅組織保持沉默時,它們永遠不會消失的可能性很大,”他詳細闡述:“相反,這為威脅組織提供了以新的IOC,戰術,技術和方法返回的機會。可以避免現有檢測的程序或新的惡意軟件變體。”
技術信息
屏幕截圖&其他影像
文件系統詳情
Emotet創建以下文件:
| # | 文件名 | 大小 | MD5 | 檢測計數 |
|---|---|---|---|---|
| 1 | %WINDIR%\syswow64\licensefwdr.exe\licensefwdr.exe | 131,072 | 3391006372b212ba0be34bf9cc47bb15 | 60 |
| 2 | c:\users\vtc\downloads\8e8cmlbo6fx_lxfm3xki.exe | 582,656 | 0d87835af614586f70e39e2dfdba1953 | 41 |
| 3 | %WINDIR%\system32\guidsdefine.exe\guidsdefine.exe | 231,424 | 8af726850d90d8897096429c8f677fb9 | 34 |
| 4 | c:\users\vtc\downloads\xppvz6oh.exe | 156,672 | e7a1127484bbd79f4de0460ee92836fb | 14 |
| 5 | c:\windows\syswow64\ni6tj3f0c.exe | 143,360 | 865eba9b4ee8e93f500232eae85899f9 | 14 |
| 6 | c:\users\vtc\downloads\fcuthenucs_qzfm9unm.exe | 230,400 | fc620fb26d06a3f15e97fa438e47b4e3 | 13 |
| 7 | c:\windows\syswow64\sw1bo.exe | 139,264 | 6957fc973e45d6362c9508297840332c | 13 |
| 8 | c:\users\vtc\downloads\hh_u6zt3e3q_vmytcj.exe | 239,616 | 0c12b6e792d5e395f1d0e8e00f2a906b | 9 |
| 9 | c:\users\vtc\downloads\8lqwejk6.exe | 159,744 | 9ab8c51587e3a46950576c545d917e5f | 8 |
| 10 | c:\windows\syswow64\guidsripple.exe | 143,360 | 954d6e95ef173331841a54b2bacbcd28 | 8 |
| 11 | c:\users\vtc\downloads\z7w2_qj.exe | 348,160 | 59dec5b309f882bd3b7b7f4db9de8810 | 7 |
| 12 | c:\windows\syswow64\ripplepolic.exe | 155,648 | d3fe0e7a94cf8a04435ecd85d1a85227 | 7 |
| 13 | c:\users\mark\211.exe | 139,264 | 831bbafd3a5596994e3e5407e86a6ab0 | 6 |
| 14 | c:\windows\syswow64\s9nevcf77pvpbcahes.exe | 139,264 | 9f6d496199d712df75fea0d4f65a774d | 6 |
| 15 | c:\users\vtc\downloads\9tadwtpw5estit.exe | 159,744 | b25ec6e225cf6247dcb3810470ae86b7 | 5 |
| 16 | C:\ProgramData\სკუმბრია.exe | 782,336 | 35c973fee6e0f6fd1c9486d25d041c83 | 5 |
| 17 | C:\ProgramData\ↇↂↂↂ自転車выпLXXX;ↇↂↂↂ;ЧыПبايسکل.exe | 548,864 | 9d7b1ffdd0d6e8e43032b16dabcb52b4 | 5 |
| 18 | c:\users\vtc\downloads\fu_nid7mlnsu.exe | 151,552 | fecc9b87f6adde022e2e7540469d9668 | 4 |
| 19 | c:\users\vtc\downloads\td5g1cst.exe | 223,232 | d42dbba27dc711e5b4a3f4bf83967049 | 4 |
| 20 | c:\users\vtc\downloads\cvedvfdyaj.exe | 232,960 | e60048bfaab06dcab844454c33ad5491 | 4 |
| 21 | c:\users\vtc\downloads\aizz7dugmz_ddw.exe | 241,152 | 149f8faf3bb1c3cbd1207c133715a480 | 2 |
| 22 | c:\users\vtc\downloads\h7kg8jsthbc.exe | 224,768 | c6c70da245a63f7ae7052ebac3fb76c6 | 2 |
| 23 | c:\users\vtc\downloads\troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe | 403,456 | 536d98819ef25d5452ef802d4541bb46 | 1 |
| 24 | c:\users\julius\downloads\bc117e6ae77ef72ad0131990943d7a8b3570f0eb9fbe9a7a41e7e43711e5f763.crdownload | 409,600 | 83e70065bf06162895e73ce43f4fdb19 | 1 |
| 25 | c:\users\julius\downloads\eb7f8d53312376570fbd1385b45d1ff3fab6faadfba6c3a3a6c9d30c5e31bb4d.crdownload | 339,968 | 1f4a1df52756bd6ea855b47f039836ee | 1 |
| 26 | c:\users\julius\downloads\1be6989616522d6ae9b3c301e5f51f0ac0313dfc8497958c616a307cd09657fc.crdownload | 339,968 | 991bd07e70c478affb777a3728942591 | 1 |
| 27 | c:\users\julius\downloads\aba5311be7e0dfbfefdd1f545a701b4e81c9ad8790af6f58f827e6b54f3454e5.crdownload | 409,600 | a4d00e6314149af840bbbf7a70bf1170 | 1 |
| 28 | c:\users\julius\downloads\a9a90901ee38e8a232e253f00b9fc9c0f0f58620ef6b7692e6dc7342a7317c1d.crdownload | 409,600 | 6f68c6733db5e38ba4cd82d12e683696 | 1 |
| 29 | C:\Windows\11987416.exe | 不適用 | ||
| 30 | C:\Windows\System32\46615275.exe | 不適用 | ||
| 31 | C:\Windows\System32\shedaudio.exe | 不適用 | ||
| 32 | C:\Windows\SysWOW64\f9jwqSbS.exe | 不適用 | ||
| 33 |
C:\Users\ |
不適用 | ||
| 34 |
C:\Users\ |
不適用 |
註冊表詳情
Emotet創建以下註冊表條目:
Regexp file mask
%APPDATA%\microsoft\vhmjoh\vhmjo.exe
%APPDATA%\SetingSync64.exe
%WINDIR%\System32\sysnet.exe
%WINDIR%\SysWOW64\HawaiiAppointment.exe
%WINDIR%\SysWOW64\nvapp.exe
%WINDIR%\SysWOW64\policsource.exe
%WINDIR%\SysWOW64\slsbthpan.exe
網站免責聲明
Enigmasoftware.com與本文提到的惡意軟件創建者或發行者沒有關聯、贊助或擁有。不要以任何方式將本文與推廣或認可惡意軟件相關聯,將其誤解或混淆。我們的目的是提供信息,以指導計算機用戶如何借助SpyHunter和/或本文提供的手動刪除說明來檢測並最終從計算機中刪除惡意軟件。
本文按“原樣”提供,僅用於教育信息。按照本文的任何說明進行操作,即表示您同意受免責聲明的約束。我們不保證本文將幫助您完全消除計算機上的惡意軟件威脅。間諜軟件定期更改,因此,很難通過手動方式完全清潔受感染的計算機。
本文按“原樣”提供,僅用於教育信息。按照本文的任何說明進行操作,即表示您同意受免責聲明的約束。我們不保證本文將幫助您完全消除計算機上的惡意軟件威脅。間諜軟件定期更改,因此,很難通過手動方式完全清潔受感染的計算機。
