Trojan.Emotet.Generic

简短的个人介绍

Trojan.Emotet.Generic是Mal必威平台APPwarebytes对银行的通用检测名称木马它可以通过窃听网络流量窃取数据，比如存储在浏览器上的用户凭证。由于其持久性和网络传播的有效结合，Trojan.Emotet.Generic常被用作其他恶意软件的下载器，是一种特别流行的银行木马的传递机制，如Qakbot和TrickBot．

感染类型及来源

通用病毒通常通过电子邮件传播，使用受感染的附件和嵌入的url。这些电子邮件可能看起来来自可信的来源，如木马。Emotet会接管受害者的电子邮件账户。这有助于欺骗用户下载木马到他们的机器上。

一旦Trojan.Emotet.Generic感染了网络机器，它将通过枚举网络资源、写入共享驱动器以及暴力破解用户帐户进行传播。受感染的机器试图通过暴力破解域凭据来横向传播Emotet，以及通过其内置的垃圾邮件模块向外部传播Emotet。因此，Emotet僵尸网络相当活跃，我们遇到的许多恶意垃圾邮件都是由它造成的。

之后

Trojan.Emotet.Generic会定期更改，因此很难通过签名检测到。

由于Emotet通过公司网络传播的方式，网络上任何被感染的机器在重新加入网络时都会再次感染之前已被清除的机器。因此，IT团队需要逐个隔离、修补和修复每个受感染的系统。清理受影响的网络可能需要很长时间——有时甚至需要几个月——这取决于所涉及的机器数量。

保护

商业和家庭用户已经使用Malwarebytes被保护木马。emotet . 必威平台APPgeneric通过我们的防exploit技术:

必威平台APPMalwarebytes用户也可以通过我们的实时保护模块免受Emotet的影响:

业务补救

必威平台APPMalwarebytes可以检测并删除Trojan.Emotet.Generic在业务端点上，无需进一步的用户交互。但要想在联网的机器上发挥作用，你必须首先遵循以下步骤:

1. 识别受感染的计算机。
2. 断开受感染机器与网络的连接。
3. 永恒蓝补丁Emotet放弃了用永恒之蓝繁殖的Trcikbot。
4. 禁用管理股票。
5. 删除Emotet木马。
6. 改变帐户凭据。

识别受感染的计算机

如果您有未受保护的端点/机器，您可以运行Farbar恢复扫描工具(FRST)来查找可能的折衷指标(IOC)。除了验证感染之外，FRST还可用于在将端点/机器带回网络之前验证是否已删除。指Farbar恢复扫描工具说明有关如何安装和运行第一次扫描的详细信息。

在first .txt文件中搜索以下IOCs:

• HKLM \ SYSTEM \ \ 1 a345b7 CURRENTCONTROLSET \服务
• HKLM \ SYSTEM \ \ 12 c4567d CURRENTCONTROLSET \服务
• (Gornyk) C:\Windows\SysWOW64\ servicedcom.exe
• 12345678. C:\WINDOWS\ exe
• C:\WINDOWS\SYSWOW64\ SERVERNV.EXE
• C:\WINDOWS\SYSWOW64\ NUMB3R2ANDL3373RS.EXE
• C:\WINDOWS\TEMP\1A2B.TMP

禁用管理股票

Windows服务器共享默认安装隐藏的共享文件夹，专门用于管理访问其他机器。Emotet使用Admin$后，会使用本地管理员密码。文件共享服务器有一个IPC$共享，Emotet查询该共享以获得连接到它的所有端点的列表。这些AdminIP共享通常是通过UAC保护的，但是，Windows将允许本地管理员通过，没有提示。

最近的Emotet变体使用C$和Admin凭据来移动并重新感染所有其他端点。

重复的再次感染表明蠕虫能够猜测或暴力破解管理员密码成功。请更改所有本地和域管理员密码。

如前所述，建议通过注册表禁用这些Admin$共享在这里．如果您没有看到这个注册表项，可以手动添加并设置为禁用。

要使用Malwarebytes业务产品删除Emotet木马，请遵循下必威平台APP面的说明。

如何去除Emotet必威平台APP伪端点保护

1. 进入Malwareb必威平台APPytes云控制台。
2. 若要在计算机离开网络时调用扫描，请转到设置>政策>你们的政策>一般．
3. 下端点接口选项打开:
   1. 显示Mal必威平台APPwarebytes图标在通知区域
   2. 允许用户运行威胁扫描(将自动隔离所有威胁)
4. 临时启用Anti-Rootkit扫描所有调用的威胁扫描。
   去设置>政策>你们的政策>端点保护>扫描选项
5. 集扫描rootkit上。
   
6. 一旦端点用最新的策略更改进行了更新:
   1. 将客户端从网络中移除
   2. 从系统托盘图标，运行一个防rootkit威胁扫描。
      

如果您有未在Malwarebytes端点保护中注册端点的受感染机器，您可以使用我们的违规补救工具(MBBR)删除Emotet。必威平台APP

有关如何使用MBBR或Malwarebytes端点安全(MBES)修复此感染的详细说明，请参阅我们的支持文档必威平台APP保护您的网络从Emotet木马．

家里补习

必威平台APP恶意软件可以检测和删除木马。emotet . generic在家庭机器上，无需进一步的用户交互。

在已被感染的用户系统上，您可以执行以下步骤:

1. 请下载伪必威平台APP你的桌面。
2. 双击MBSetup.exe然后按照提示安装程序。
3. 当你的必威平台APP伪的窗户安装完成后，程序打开到欢迎Malwarebytes屏幕。必威平台APP
4. 点击开始按钮。
5. 点击扫描开始威胁扫描．
6. 点击检疫移除发现的威胁。
7. 如果提示完成删除过程，请重新启动系统。

建议修改受影响系统中所有可能被窃取的密码。