Emotet-Malware wird von Behörden deinstalliert

Ein speziell von den Strafverfolgungsbehörden erstelltes Update wird die Emotet-Botnet-Malware von 1,6 Millionen infizierten Computern auf der ganzen Welt entfernen.

Emotet galt als das weltweit größte Botnet, das dafür bekannt war, täglich Millionen von mit Malware verseuchten Spam-E-Mails zu verschicken. Strafverfolgungsbehörden in den USA, Kanada und Europa führten im Januar eine koordinierte Zerschlagung der Emotet-Infrastruktur durch, um das Internet von einer seiner schlimmsten Bedrohungen zu befreien, die zur Verbreitung von Banking-Trojanern, Remote-Access-Tools und Ransomware genutzt wurde.

Ein Teil der Aktion bestand darin, dass die Strafverfolgungsbehörden die Command-and-Control (C2)-Infrastruktur von Emotet beschlagnahmten, um die Betreiber daran zu hindern, das Botnet zur Verbreitung weiterer Malware zu nutzen. Wie ZDNet im Januar berichtete, übernahmen die Strafverfolgungsbehörden in den Niederlanden die Kontrolle über zwei der dreistufigen C2-Server von Emotet.

Die Strafverfolgungsbehörden lieferten in diesem Monat ein Emotet-Update, das die Malware am 25. April von allen infizierten Computern entfernen sollte. Laut BleepingComputer hat das deutsche Bundeskriminalamt (BKA) das Deinstallations-Update erstellt und verteilt.  Eine Sprecherin des BKA verwies allerdings heute gegenüber ZDNet.de darauf, dass es seit der im Januar herausgegebenen Pressemitteilung keine neuen Informationen gebe.

„Die Strafverfolgungsbehörden werden ein Emotet-Update, die Datei „EmotetLoader.dll“, bereitstellen, das die Malware von allen infizierten Geräten entfernen wird. Der Ausführungsschlüssel in der Windows-Registrierung der infizierten Geräte wird entfernt, um sicherzustellen, dass die Emotet-Module nicht mehr automatisch gestartet und alle Server, auf denen Emotet-Prozesse laufen, beendet werden“, so das Sicherheitsunternehmen Redscan.

„Es ist jedoch wichtig zu beachten, dass die Abschaltung weder andere Malware, die über Emotet auf infizierten Geräten installiert wurde, noch Malware aus anderen Quellen entfernt“, heißt es weiter.

Und die Cybersecurity-Firma Malwarebytes hat nun das Emotet-Deinstallationsprogramm der Strafverfolgungsbehörden analysiert. Im Wesentlichen nutzten die Strafverfolgungsbehörden die Botnet-Infrastruktur von Emotet, um die Malware zu deinstallieren.

„Die Deinstallationsroutine selbst ist sehr einfach. Sie löscht den mit Emotet verknüpften Dienst, löscht den Ausführungsschlüssel, versucht (aber scheitert), die Datei nach %temp% zu verschieben und beendet dann den Prozess“, schreiben die Forscher.

Trotz des Fehlers im Code der Strafverfolgungsbehörden fügen sie hinzu, dass die Emotet-Malware „kastriert wurde und harmlos ist, da sie nicht mehr ausgeführt werden kann, da ihre Persistenzmechanismen entfernt wurden.“

highlightbox id=’88381186′]

Jakob Jung

Recent Posts

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

2 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

2 Tagen ago

Check Point verhindert Diebstahl von Krypto-Wallets

Die Sicherheitsforscher von Check Point Research entdeckten eine Schwachstelle im größten NFT-Online-Marktplatz Open Sea und…

2 Tagen ago

Trickbot gefährlichste Malware

Laut dem Check Point Research (CPR) Global Threat Index für September 2021 übernimmt Trickbot die…

3 Tagen ago

5G-Transformation – Chancen und Herausforderungen

Wie Unternehmen von der 5G Technologie profitieren und warum eine Multi-Cloud-Strategie sinnvoll ist, schildert David…

4 Tagen ago

ONLYOFFICE: Projektmanagement von unterwegs mit neuer Projects-App für Android, neue Features für bessere mobile Dokumentenbearbeitung auf iOS & Android

Spannende Neuigkeiten an der Mobile-Front von ONLYOFFICE! Die Open-Source-Plattform hat ihre mobile Projektmanagement-App “ONLYOFFICE Projects”-App…

5 Tagen ago