Trojan.Emotet.Generic是Mal必威平台APPwarebytes对银行的通用检测名称木马它可以通过窃听网络流量窃取数据,比如存储在浏览器上的用户凭证。由于其持久性和网络传播的有效结合,Trojan.Emotet.Generic常被用作其他恶意软件的下载器,是一种特别流行的银行木马的传递机制,如Qakbot和TrickBot.
通用病毒通常通过电子邮件传播,使用受感染的附件和嵌入的url。这些电子邮件可能看起来来自可信的来源,如木马。Emotet会接管受害者的电子邮件账户。这有助于欺骗用户下载木马到他们的机器上。
一旦Trojan.Emotet.Generic感染了网络机器,它将通过枚举网络资源、写入共享驱动器以及暴力破解用户帐户进行传播。受感染的机器试图通过暴力破解域凭据来横向传播Emotet,以及通过其内置的垃圾邮件模块向外部传播Emotet。因此,Emotet僵尸网络相当活跃,我们遇到的许多恶意垃圾邮件都是由它造成的。
Trojan.Emotet.Generic会定期更改,因此很难通过签名检测到。
由于Emotet通过公司网络传播的方式,网络上任何被感染的机器在重新加入网络时都会再次感染之前已被清除的机器。因此,IT团队需要逐个隔离、修补和修复每个受感染的系统。清理受影响的网络可能需要很长时间——有时甚至需要几个月——这取决于所涉及的机器数量。
商业和家庭用户已经使用Malwarebytes被保护木马。emotet . 必威平台APPgeneric通过我们的防exploit技术:
必威平台APPMalwarebytes用户也可以通过我们的实时保护模块免受Emotet的影响:
必威平台APPMalwarebytes可以检测并删除Trojan.Emotet.Generic在业务端点上,无需进一步的用户交互。但要想在联网的机器上发挥作用,你必须首先遵循以下步骤:
识别受感染的计算机
如果您有未受保护的端点/机器,您可以运行Farbar恢复扫描工具(FRST)来查找可能的折衷指标(IOC)。除了验证感染之外,FRST还可用于在将端点/机器带回网络之前验证是否已删除。指Farbar恢复扫描工具说明有关如何安装和运行第一次扫描的详细信息。
在first .txt文件中搜索以下IOCs:
禁用管理股票
Windows服务器共享默认安装隐藏的共享文件夹,专门用于管理访问其他机器。Emotet使用Admin$后,会使用本地管理员密码。文件共享服务器有一个IPC$共享,Emotet查询该共享以获得连接到它的所有端点的列表。这些AdminIP共享通常是通过UAC保护的,但是,Windows将允许本地管理员通过,没有提示。
最近的Emotet变体使用C$和Admin凭据来移动并重新感染所有其他端点。
重复的再次感染表明蠕虫能够猜测或暴力破解管理员密码成功。请更改所有本地和域管理员密码。
如前所述,建议通过注册表禁用这些Admin$共享在这里.如果您没有看到这个注册表项,可以手动添加并设置为禁用。
要使用Malwarebytes业务产品删除Emotet木马,请遵循下必威平台APP面的说明。
如果您有未在Malwarebytes端点保护中注册端点的受感染机器,您可以使用我们的违规补救工具(MBBR)删除Emotet。必威平台APP
有关如何使用MBBR或Malwarebytes端点安全(MBES)修复此感染的详细说明,请参阅我们的支持文档必威平台APP保护您的网络从Emotet木马.
必威平台APP恶意软件可以检测和删除木马。emotet . generic在家庭机器上,无需进一步的用户交互。
在已被感染的用户系统上,您可以执行以下步骤:
建议修改受影响系统中所有可能被窃取的密码。
选择你的语言