Japan CERT telah merilis versi baru dari utilitas EmoCheck mereka untuk mendeteksi versi 64-bit baru dari malware Emotet yang mulai menginfeksi pengguna bulan ini.
Emotet adalah salah satu malware terdistribusi paling aktif yang menyebar melalui email menggunakan email phishing dengan lampiran berbahaya, termasuk dokumen Word/Excel, pintasan Windows, file ISO, dan file zip yang dilindungi kata sandi.
Email phishing menggunakan umpan kreatif untuk mengelabui pengguna agar membuka lampiran, termasuk email berantai balasan, pemberitahuan pengiriman, dokumen pajak, laporan akuntansi, atau bahkan undangan pesta liburan.
Setelah perangkat terinfeksi, Emotet akan mencuri email pengguna untuk digunakan dalam serangan phishing berantai balasan di masa mendatang dan mengunduh muatan malware lebih lanjut di komputer.
Karena malware lebih lanjut biasanya mengarah ke pencurian data dan serangan ransomware, sangat penting untuk mendeteksi infeksi malware Emotet dengan cepat sebelum kerusakan lebih lanjut terjadi.
Pada tahun 2020, CERT Jepang (tim tanggap darurat komputer) merilis alat gratis bernama EmoCheck untuk memindai komputer dari infeksi Emotet.
Jika salah satu terdeteksi, maka akan ditampilkan path lengkap infeksi malware tersebut sehingga bisa dihapus.
Namun, awal bulan ini, geng Emotet beralih ke loader dan pencuri versi 64-bit, membuat deteksi yang ada menjadi kurang berguna. Selanjutnya, dengan sakelar ini, alat EmoCheck tidak lagi dapat mendeteksi versi Emotet 64-bit yang baru.
Untuk memeriksa apakah Anda terinfeksi Emotet, Anda dapat mengunduh utilitas EmoCheck dari repositori GitHub CERT Jepang.
Setelah diunduh, klik dua kali pada emocheck_x64.exe (versi 64-bit) atau emocheck_x86.exe (versi 32-bit), tergantung pada apa yang Anda unduh.
EmoCheck akan memindai Emotet Trojan, dan jika malware terdeteksi, tampilkan ID proses yang dijalankannya di bawah dan lokasi DLL malware.
Emotet saat ini sedang diinstal di folder acak di bawah C:\Users\[nama pengguna]\AppData\Local. Meskipun malware Emotet adalah DLL, ia tidak akan memiliki ekstensi DLL melainkan ekstensi tiga huruf acak, seperti .bbo atau .qvp.
EmoCheck juga akan membuat log di folder yang sama dengan program yang berisi informasi yang terdeteksi, sehingga Anda dapat merujuknya sesuai kebutuhan.
Jika Anda menjalankan EmoCheck dan menemukan bahwa Anda terinfeksi, Anda harus segera membuka Task Manager dan menghentikan proses yang terdaftar, biasanya regsvr32.exe.
Anda kemudian harus memindai komputer Anda dengan perangkat lunak antivirus tepercaya untuk memastikan malware lain belum diinstal pada perangkat Anda.
Sumber: Bleeping Computer
