Emotet恶意软件会从所有受感染的计算机上自行销毁

Emotet是一种臭名昭著的基于电子邮件的Windows恶意软件，在几次僵尸网络驱动的垃圾邮件活动和勒索软件攻击背后，在一次欧洲执法行动后，它被自动从受感染的计算机上全部清除。

三个月前，作为“瓢虫行动”（Operation Ladybird）的一部分，Emotet被协调中断，以控制用于运行和维护恶意软件网络的服务器。经过精心策划的工作，至少有700台与僵尸网络基础设施相关的服务器从内部被阉割，从而防止了进一步的攻击。

来自荷兰、德国、美国、英国、法国、立陶宛、加拿大和乌克兰的执法当局参与了国际行动。

此前，查封了位于该国的两台中央服务器的荷兰警方表示，他们已经部署了一个软件更新，以有效应对Emotet带来的威胁。“所有受感染的计算机系统将自动检索那里的更新，之后Emotet感染将被隔离，”该机构在1月份指出。

这涉及通过用于将原始Emotet分发到所有受损机器的相同通道，推送名为“EmotetLoader.dll”的32位有效负载。清除程序设置为在2021年4月25日自动触发，通过删除设备中的恶意软件，除了删除AutoRun注册表项并终止进程。

周日，网络安全公司Malwarebytes证实，其感染了Emotet的机器收到了精心编制的定时炸弹代码，已成功启动卸载程序，并从Windows系统中删除。

比如写作，辱骂。ch的Feodo追踪器显示，没有一台Emotet服务器在线。然而，这对僵尸网络的“最后”打击是否会导致它在未来反弹，或使其永久无法运行，从而为其他网络犯罪参与者填补空白铺平道路，还有待观察。

“从历史上看，Emotet的运营商利用长时间的活动中断来改进他们的恶意软件，”Redscan研究人员周五指出。“这意味着，Emotet的运营商很可能会利用这一机会使loader恶意软件更具弹性，例如，通过使用多态技术来对抗未来的协调行动。他们还可以使用Emotet源代码来分支并创建更小、独立的僵尸网络。”

这一大规模行动标志着执法机构第二次介入，从受损机器上清除恶意软件。

本月早些时候，美国政府采取措施，从位于美国的Microsoft Exchange服务器上移除由Hafnium threat actor投下的网络外壳后门，这些服务器是通过ProxyLogon漏洞入侵的。

在法院授权的行动之后，联邦调查局表示，正在通知所有从其移除网络外壳的组织，这意味着情报机构在他们不知情的情况下访问了这些系统。