國際執法合作，迫使 Emotet 惡意軟體自我刪除

2021 / 04 / 26

編輯部

在過去造成全球重大資安損害的惡意軟體 Emotet，近來在國際執法單位共同合作下，自一月起利用緝獲的 Emotet 控制伺服器，逐步在遭感染的電腦系統上執行自我刪除。

Emotet 這個惡意軟體，幕後的駭侵組織為「TA542」，又稱「木乃伊蜘蛛（Mummy Spider）」，是個二階段的惡意軟體；電腦系統感染 Emotet 後，會再從控制伺服器上下載安裝不同功能的惡意軟體模組，例如惡名昭彰的 Ryuk 勒贖軟體，便是 Emotet 上的一個模組。

這次的刪除行動，是由德國的聯邦警察署（Bundeskriminalamt）發動，該單位緝獲一批 Emotet 的控制伺服器後，利用這批控制伺服器，對已感染 Emotet 的電腦，發送一個 32 位元 EmotetLoader.dll 檔案，達成移除 Emotet 的任務

資安廠商 Malwarebytes 的資安專家，分析了德國警方發送的自我刪除程式碼後指出，發現這個移除程式做的事情非常簡單：刪除 Emotet 相關的 Windows 服務、移除會自動執行 Emotet 的 Windows 登錄檔中的相關機碼，接著結束執行程序。

據資安專業媒體 BleepingComputer 報導指出，一月時德國聯邦警察署就開始利用手中掌握的 Emotet 控制伺服器，推送自我移除模組；二月時美國司法部也證實，這項計畫中的移除行動，是由德國警方負責，並且與美國聯邦調查局（FBI）密切合作。

不過，美國司法部也指出，這波行動並無法移除其他非 Emotet 安裝的惡意軟體，僅能讓受害者中的 Emotet 模組停止運作，防止 Emotet 下載更多惡意軟體模組發動攻擊。

本文轉載自TWCERT/CC。

Emotet TA542 木乃伊蜘蛛 Mummy Spider Ryuk