Emotet-Malware wird von Behörden deinstalliert

Ein speziell von den Strafverfolgungsbehörden erstelltes Update wird die Emotet-Botnet-Malware von 1,6 Millionen infizierten Computern auf der ganzen Welt entfernen.

Emotet galt als das weltweit größte Botnet, das dafür bekannt war, täglich Millionen von mit Malware verseuchten Spam-E-Mails zu verschicken. Strafverfolgungsbehörden in den USA, Kanada und Europa führten im Januar eine koordinierte Zerschlagung der Emotet-Infrastruktur durch, um das Internet von einer seiner schlimmsten Bedrohungen zu befreien, die zur Verbreitung von Banking-Trojanern, Remote-Access-Tools und Ransomware genutzt wurde.

Ein Teil der Aktion bestand darin, dass die Strafverfolgungsbehörden die Command-and-Control (C2)-Infrastruktur von Emotet beschlagnahmten, um die Betreiber daran zu hindern, das Botnet zur Verbreitung weiterer Malware zu nutzen. Wie ZDNet im Januar berichtete, übernahmen die Strafverfolgungsbehörden in den Niederlanden die Kontrolle über zwei der dreistufigen C2-Server von Emotet.

Die Strafverfolgungsbehörden lieferten in diesem Monat ein Emotet-Update, das die Malware am 25. April von allen infizierten Computern entfernen sollte. Laut BleepingComputer hat das deutsche Bundeskriminalamt (BKA) das Deinstallations-Update erstellt und verteilt.  Eine Sprecherin des BKA verwies allerdings heute gegenüber ZDNet.de darauf, dass es seit der im Januar herausgegebenen Pressemitteilung keine neuen Informationen gebe.

„Die Strafverfolgungsbehörden werden ein Emotet-Update, die Datei „EmotetLoader.dll“, bereitstellen, das die Malware von allen infizierten Geräten entfernen wird. Der Ausführungsschlüssel in der Windows-Registrierung der infizierten Geräte wird entfernt, um sicherzustellen, dass die Emotet-Module nicht mehr automatisch gestartet und alle Server, auf denen Emotet-Prozesse laufen, beendet werden“, so das Sicherheitsunternehmen Redscan.

„Es ist jedoch wichtig zu beachten, dass die Abschaltung weder andere Malware, die über Emotet auf infizierten Geräten installiert wurde, noch Malware aus anderen Quellen entfernt“, heißt es weiter.

Und die Cybersecurity-Firma Malwarebytes hat nun das Emotet-Deinstallationsprogramm der Strafverfolgungsbehörden analysiert. Im Wesentlichen nutzten die Strafverfolgungsbehörden die Botnet-Infrastruktur von Emotet, um die Malware zu deinstallieren.

„Die Deinstallationsroutine selbst ist sehr einfach. Sie löscht den mit Emotet verknüpften Dienst, löscht den Ausführungsschlüssel, versucht (aber scheitert), die Datei nach %temp% zu verschieben und beendet dann den Prozess“, schreiben die Forscher.

Trotz des Fehlers im Code der Strafverfolgungsbehörden fügen sie hinzu, dass die Emotet-Malware „kastriert wurde und harmlos ist, da sie nicht mehr ausgeführt werden kann, da ihre Persistenzmechanismen entfernt wurden.“

highlightbox id=’88381186′]