11.02.2020

Emotet: Erster Hase-Igel-Loop für EmoCheck

Eine neue Emotet-Version machte ein erstes Update des Erkennungs-Tools EmoCheck fällig.

Nach der Veröffentlichung des Emotet-Test-Tools durch das Japanische CERT reagierten die Emotet-Macher mit einer neuen Version des Schädlings, bei der sie die Routinen zur Erzeugung von Namen änderten. Daraufhin aktualisierte JPCERT/CC EmoCheck so, dass es die neuen Namen der Emotet-Dateien und Prozesse wieder erkennt.

Emotet speichert aktuell den Namen des aktiven Trojaner-Prozesses in einem bestimmten Registry-Key. EmoCheck v.0.0.2 liest diesen aus und sucht in der Liste der Prozesse danach. Anschließend gibt es eine Warnung wie diese aus:

[Result]

Detected Emotet process.

[Emotet Process]

     Process Name  : mstask.exe

     Process ID    : 716

     Image Path    : C:\Users\[username]\AppData\Local\mstask.exe

Please remove or isolate the suspicious execution file.

Schlechte Erkennung, kein Schutz!!!

Das Erkennen von charakteristischen Zeichenketten ist kein verlässlicher Mechanismus zum Schutz vor Emotet. Aktuelle Versionen des Schädlings werden solche Funktionen immer wieder unterlaufen.

So taugt EmoCheck bestenfalls als kruder Schnelltest, um bereits (mit alten Emotet-Versionen) infizierte Systeme aufzuspüren. Aber auch dabei kann man sich nicht wirklich auf das Ergebnis verlassen: Schon eine Aussage wie „dieses System ist sauber“ lässt sich damit nicht treffen.