Ebből baj lehet: éledezik a hírhedt szemetelő trójai

​Február óta nem lehetett hallani arról a kártékony programról, amely korábban a globális levélszemét egy jelentős részének terjesztéséért volt felelőssé tehető. Sajnos azonban az elmúlt napokban megváltozott a helyzet.
 

Az Emotet az elmúlt években már rengeteg kárt és bosszúságot okozott. Elsősorban azzal vált ismertté, hogy kéretlen elektronikus leveleket küldözgetett nagy mennyiségben. Ezek között nem kizárólag reklámcélú küldemények voltak, hanem olyanok is, amelyek további kártékony kódokat, vírusokat hordoztak. A károkozó a nemkívánatos ténykedését követően idén februárban jelentősen veszített erejéből, és azóta nem is hallatott magáról. Sajnos az elmúlt napokban ismét mozgolódást lehetett megfigyelni az Emotet kapcsán, ami nagyon aggasztó hír. Ha ugyanis a kártevő ismét nekilát a számítógépek tömeges fertőzésének, akkor annak komoly következményei lehetnek.
 
Az Emotet legújabb variánsát a Binary Defense biztonsági kutatói vették szemügyre, akik egyrészt a károkozó által elvégzett műveleteket elemezték, másrészt igyekeztek feltárni a trójai terjedési ütemét.
 
A legújabb Emotet alapvetően követi az elődjei által kitaposott utat. Ennek megfelelően olyan kéretlen leveleket küldözget, amelyek egyebek mellett mondvacsinált szállításokkal, fizetésekkel, számlákkal kapcsolatosak.
 
A levelek sok esetben ismert cégek nevében érkeznek, hamisított feladóval. A csatolmányukban pedig egy-egy Word dokumentum kap helyet. E dokumentumok érdekessége, hogy a felhasználót egy teljesen alaptalan üzenettel próbálják rávenni arra, hogy engedélyezze a szerkesztési és makrófuttatási lehetőségeket. A dokumentumokban az áll, hogy azok IOS-alapú eszközzel készültek, ezért a megtekintésükhöz engedélyezni kell a szerkesztést. Természetesen ez az üzenet csakis megtévesztési célokat szolgál.  
Amennyiben a felhasználó bedől a trükknek, akkor a trójai PowerShell scriptek segítségével letölti a károkozásaihoz szükséges kódokat. Mindezt meghackelt, WordPress-alapú weboldalakon keresztül teszi meg. Ezt követően a regisztrációs adatbázis módosításával gondoskodik arról, hogy a Windows újraindítása után automatikusan betöltődhessen.
 
A trójai jelenlegi variánsának legfontosabb fájlja a következő helyre kerül:
%UserProfile%\AppData\Local\dwmapi\certmgr.exe.
 
Biztonsági szakértők szerint az Emotet olyan modulokat is beszerez, amelyek alkalmassá teszik adatlopásra, spamelésre és további számítógépek megfertőzésére. Ezért a szakemberek többrétegű védelem kialakítását javasolják, miközben a felhasználók biztonságtudatosságának fontosságát is kiemelik.