HomePtNotíciaEmoCheck agora detecta novas versões de 64 bits do malware Emotet

EmoCheck agora detecta novas versões de 64 bits do malware Emotet


O CERT do Japão lançou uma nova versão de seu utilitário EmoCheck para detectar novas versões de 64 bits do malware Emotet que começou a infectar usuários este mês.

O Emotet é um dos malwares mais ativamente distribuídos por e-mails usando e-mails de phishing com anexos maliciosos, incluindo documentos do Word/Excel, atalhos do Windows, arquivos ISO e arquivos zip protegidos por senha.

Os e-mails de phishing usam iscas criativas para induzir os usuários a abrir anexos, incluindo e-mails de resposta em cadeia, avisos de remessa, documentos fiscais, relatórios contábeis ou até convites para festas de fim de ano.

Convite de festa de Natal emotet
Falso convite para festa de Natal instalando o Emotet

Quando um dispositivo é infectado, o Emotet rouba os e-mails dos usuários para uso em futuros ataques de phishing de cadeia de resposta e baixa mais cargas de malware no computador.

Como malware adicional geralmente leva a roubo de dados e ataques de ransomware, é fundamental detectar rapidamente infecções por malware Emotet antes que mais danos sejam causados.

EmoCheck atualizado para versões de 64 bits

Em 2020, o CERT do Japão (Computer Emergency Response Team) lançou uma ferramenta gratuita chamada EmoCheck para verificar um computador em busca de infecções por Emotet.

Se um for detectado, ele exibirá o caminho completo para a infecção por malware para que possa ser removido.

No entanto, no início deste mês, a turma do Emotet mudou para versões de 64 bits de seu carregador e ladrões, tornando as detecções existentes menos úteis. Além disso, com essa alteração, a ferramenta EmoCheck não pôde mais detectar novas versões de 64 bits do Emotet.

Esta semana, a JPCERT lançou o EmoCheck 2.2 para suportar as novas versões de 64 bits e agora pode detectá-las, conforme mostrado abaixo.

EmoCheck detectando infecção por malware Emotet
EmoCheck detectando infecção por malware Emotet

Para verificar se você está infectado com o Emotet, você pode baixar o utilitário EmoCheck do repositório Japan CERT GitHub.

Depois de baixado, clique duas vezes em emocheck_x64.exe (versão de 64 bits) ou emocheck_x86.exe (versão de 32 bits), dependendo do que você baixou.

O EmoCheck verificará o Trojan Emotet e, se um malware for detectado, exibirá o ID do processo em que está sendo executado e a localização da DLL do malware.

O Emotet está atualmente instalando em uma pasta aleatória em C:\Users [username] Dados de Aplicativos Locais. Embora o malware Emotet seja uma DLL, ele não terá a extensão DLL, mas sim uma extensão aleatória de três letras, como .bbo ou .qvp.

Um exemplo de uma infecção por malware Emotet instalado pode ser visto abaixo.

Emotet instalado em %LocalAppData%
Emotet instalado em %LocalAppData%

O EmoCheck também criará um log na mesma pasta do programa que contém as informações detectadas, permitindo que você o consulte conforme necessário.

Se você executar o EmoCheck e descobrir que está infectado, deverá abrir imediatamente o Gerenciador de Tarefas e encerrar o processo listado, geralmente regsvr32.exe.

Em seguida, você deve verificar seu computador com um software antivírus confiável para garantir que nenhum outro malware tenha sido instalado em seu dispositivo.

Essa ferramenta pode ser útil para administradores do Windows, que podem executá-la no login para detectar infecções por Emotet em sua rede.

Must Read

%d bloggers like this: