マルウェアEmotetの検知と駆除

Atom | RSS

このサイトを検索 | Search this site

マルウェア「Emotet」について、

IPAは2020年1月29日、「新型コロナウイルス」に関する情報を装う攻撃メールの情報提供があったことを明らかにしました。

IPAによると、問題のメールは「新型コロナウイルス」の情報提供を装って、悪意のあるマクロが仕込まれたWord文書ファイルを開封するような文言が書かれているとしています。

Emotetに感染しているか否かを教えてくれるプログラム「EmoCheck」がGitHubで配布されていたので、マイクロソフトWordユーザーに向けて情報提供させて頂きます。

Emotet

Emotetは2019年9月頃からニュースになっており、私も受信したことがあるのでどのようなものなのかは知っています。

私の場合、

Reply-toヘッダに妙なアドレスが設定されていたのですぐに気がつきましたが、チェックする習慣のない方は釣られるかもしれません...。

Emotet に感染すると、次のような被害を受ける可能性があります。

• 端末やブラウザに保存されたパスワードなどが窃取される
• 窃取されたパスワードを悪用されネットワーク内に感染が広がる
• メールアカウントとパスワードが窃取される
• メール本文とアドレス帳の情報が窃取される
• 窃取されたメールアカウントや本文などが悪用され、Emotetの感染を広げるメールが送信される

「新型コロナウイルス」メール

IPAの画像を引用します。

添付ファイルを開いたらWordのマクロが動作してマルウェアを仕込む仕掛けですが、Wordがインストールされていなければ問題ありません。

出典：IPA 独立行政法人 情報処理推進機構

文字起こし

管内 通所・施設系障害福祉サービス事業者 様

お世話になっております。

新型コロナウィルス関連肺炎については、中国武感市を中心に患者が報告され、
国内でもXXX県 で患者が報告されているところであり、

つきましては、別添通知をご確認いただき、
感染予防策についてよろしくお願いいたします。
なお、並行してワムネットXXXページへの掲載準備をしております。

XXX保健所福祉室（担当：XXX）

Emotet detection tool

Emotet detection tool (EmoCheck) は次のサイトで配布されているので、感染しているか否かを確認してみては如何でしょうか？

https://github.com/JPCERTCC/EmoCheck/releases

• emocheck_x64.exe (64-bit)
• emocheck_x86.exe (32-bit)

c:\_	C:\temp\emocheck_x64.exe	ー　□　×
Emotet detection tool by JPCERT/CC. Version : 0.0.1 Release Date : 2020/02/03 URL : https://github.com/JPCERTCC/EmoCheck ____________________________________________________ Emotetは検知されませんでした。 以下のファイルに結果を出力しました。 20200206140957_emocheck.txt ツールのご利用ありがとうございました。 続行するには何かキーを押してください . . .

あとがき

Emotetに感染したら駆除しましょう。

駆除する方法はJPCERT/CCで紹介されているので外部リンクをお読みください。

 Related post

• セキュリティの記事 :Scrap 2nd.
• スパムメールの記事 :Scrap 2nd.

 External link

• 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人 情報処理推進機構
• Releases · JPCERTCC/EmoCheck · GitHub
• マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

SC2

ブログサークルSNS
クリックして応援してね！

このサイトを検索 | Search this site