Emotet Trojaner aufspüren

P

PiBi

Stammgast
Habe im Internet (www.chip.de) einen Hinweis gefunden mit dem man die "gefährlichste Software der Welt" aufspüren kann: EmoCheck. Habe die Datei "emocheck_x64.exe" runtergeladen. Wenn ich sie starten will erhalte ich die Warnmeldung gemäss Beilage. Soll man sie nun ausführen oder nicht? Oder ist diese Datei wirklich gefährlich?
PiBi
 
Gaby Salvisberg

Gaby Salvisberg

Super-Moderator
Hallo PiBi

Das ist der Windows-eigene Smartscreen-Filter, der bei allen ausführbaren Dateien motzt, die er nicht kennt.

Was sagt denn virustotal.com zur Datei?

Herzliche Grüsse
Gaby
 
Xpert

Xpert

Stammgast
Das Tool ist meines Wissens vom CERT Japan und prüft nur, ob es unter "%LocalAppData%" einen Ordner und darin eine Datei gibt, welche eine Kombination von folgenden Begriffen hat:

Code: 
duck, mfidl, targets, ptr, khmer, purge, metrics, acc, inet, msra, symbol, driver, sidebar, restore, msg, volume, cards, shext, query, roam, etw, mexico, basic, url, createa, blb, pal, cors, send, devices, radio, bid, format, thrd, taskmgr, timeout, vmd, ctl, bta, shlp, avi, exce, dbt, pfx, rtp, edge, mult, clr, wmistr, ellipse, vol, cyan, ses, guid, wce, wmp, dvb, elem, channel, space, digital, pdeft, violet, thunk

z.B. einen Ordner "volumeguid" (bestehend aus "volume" & "guid") mit einer entsprechend benannten .exe Datei darin also hier volumeguid.exe.

Ich denke, wenn du dir die Exe direkt vom GitHup Repo des CRT Japan holst, sollte eigentlich nichts passieren. Einmal durch Virustotal.com jagen, schadet aber auch dann sicher nicht.

Nachdem Download aus dem Repo kanns du noch einen kurzen Hash-Vergleich machen. Entweder via Virustotal, welches den SHA256 Hash auch anzeigt oder via Powershell

1. Powershell als Admin öffnen
2. Get-Filehash -path "PFADzurDateiAngeben" -Algorithm SHA256
3. Mit den Werten auf dem Repo vergleichen


Code: 
    emocheck_x86.exe
    MD5 : 9508DACDF443B422D159160E02043045
    SHA256: 3F9BEFD9287923A844FA7F38DEADFE2238380398E1F4F4C902A18CD4CCF1BFA0

    emocheck_x64.exe
    MD5 : 9E1B8BE8402A51B8FEE0B590B4965060
    SHA256: C8CC438BF271DFAA110C58C748C54175823269DA7202EA19FC75EEEA359FAEB5
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben