Вот как работает модуль вредоносного ПО Emotet правоохранительных органов

Вот как работает модуль вредоносного ПО Emotet правоохранительных органов

Новое исследование, опубликованное сегодня, дает более полное представление о модуле Emotet, созданном правоохранительными органами, который удалит вредоносное ПО с зараженных устройств в апреле..

27 января Европол объявил, что совместная операция правоохранительных органов Нидерландов, Германии, США, Великобритании, Франции, Литвы, Канады и Украины взяла под контроль серверы ботнета Emotet и нарушила работу вредоносного ПО..

После удаления исследователи заметили, что ботнет Emotet начал загружать модуль на зараженные устройства, который удалял вредоносное ПО 25 апреля 2021 года, в 12:00 и позже..

28-го числа в пресс-релизе Министерства справедливости США было подтверждено, что этот модуль создали «иностранные правоохранительные органы»..

«Иностранные правоохранительные органы, работая в сотрудничестве с ФБР, заменили вредоносное ПО Emotet на серверах, находящихся в их юрисдикции, файлом, созданным правоохранительными органами, согласно письменным показаниям. Это было сделано с намерением, чтобы компьютеры в Соединенных Штатах и ​​других странах, которые были зараженный вредоносным ПО Emotet загружал бы файл правоохранительных органов во время уже запрограммированного обновления Emotet «, — говорится в пресс-релизе Министерства юстиции..

READ  Epic Games предупреждает регулирующие органы Австралии об Apple; s; антиконкурентный; практики

В беседе с Европолом, а затем в электронных письмах с Федеральным агентством по вопросам политики Германии Bundeskriminalamt (BKA) мы узнали, что BKA отвечает за модуль.

Что показывает анализ Malwarebytes

Хотя теперь мы знали, что отправка по расписанию на зараженные устройства была создана правоохранительными органами для удаления вредоносного ПО, некоторые вопросы все еще оставались без ответа..

Например, почему удаление произошло через два месяца и что произойдет до даты удаления 25 апреля 2021 г.?

Сегодня новый анализ Жерома Сегуры и хэшерезада Malwarebytes дает ответы на некоторые из этих вопросов..

Новый модуль Emotet, распространяемый немецкими правоохранительными органами, представляет собой 32-битную DLL с именем EmotetLoader.dll.

Ниже вы можете увидеть процедуру, которая проверяет дату, и, если это 25 апреля или позже, удаляет Emotet. Для получения дополнительной информации о переменной крайнего срока вы можете обратиться к этой документации Microsoft..

При удалении Emotet Malwarebytes сообщает, что программа удаления удаляет только связанные службы Windows, удаляет свой ключ реестра автозапуска, а затем завершает процесс..

READ  Политика Apple в отношении удаленной работы продлится до июня 2021 года

С другой стороны, до 25 апреля 2021 года модуль позволяет установить Emotet на устройстве..

Однако разница в том, что командный сервер Emotet теперь настроен для использования серверов правоохранительных органов, расположенных в Германии. Поскольку правоохранительные органы контролируют ботнет, Emotet не будет загружать дополнительные модули на зараженный компьютер для выполнения вредоносных действий..

«Ну, он по-прежнему загружает Emotet, но с большой разницей. Он меняет C2 на те, что контролируются LE. Так что ваша машина, пока она ожидает активации очистки, будет пинговать серверы LE». Сегура рассказал BleepingComputer.

Malwarebytes заявляет, что этот новый модуль будет загружен на все зараженные устройства, эффективно заменяя вредоносные установки Emotet, уже заражающие их компьютеры..

«Для жертв с существующей инфекцией Emotet новая версия выйдет в виде обновления, заменяющего предыдущую. Таким образом она будет знать пути установки и сможет очистить себя по истечении крайнего срока», — объясняет Malwarebytes..

На что до сих пор нет ответа, так это зачем ждать два месяца, чтобы удалить вредоносное ПО, а не делать это немедленно.?

READ  Наконец-то выпущено обновление Galaxy S10 Android 11 One UI 3.0

Судя по заявлению BKA, это, вероятно, делается для того, чтобы правоохранительные органы могли собрать дополнительные доказательства, такие как количество зараженных устройств и страны, в которых они расположены. Его также можно использовать для идентификации корпоративных жертв, чтобы предупредить их о дальнейших возможных компрометациях их сетей..

Попытки BleepingComputer получить официальный ответ на этот вопрос оказались безуспешными..

«Пожалуйста, поймите, что мы не можем предоставить никакой дополнительной информации, так как расследование все еще продолжается», — сказал немецкий BKA BleepingComputer в ответ для получения дополнительной информации..

Источник

KURDEN.RU 2021