Politieorganisaties wereldwijd zijn er eerder dit jaar geslaagd de infrastructuur van het beruchte Emtotet-botnet over te nemen en offline te brengen. Nu zijn zij er ook in geslaagd de malware fysiek van geïnfecteerde systemen te verwijderen. Dit blijkt uit een update van een blog van virus- en malwarescanner Malwarebytes.
Volgens de update van de blogpost van Malwarebytes hebben samenwerkende internationale politieorganisaties, zoals Europol, de Duitse Bundeskriminalamt (BKA) en de ook de FBI, eind januari het berichte Emotet-botnet weten over te nemen. De samenwerking stond daarbij onder leiding van de Nederlandse en Duitse politie. Hierover schreef Techzine al eerder. De politieorganisaties kregen uiteindelijk toegang tot de C&C-servers van het botnet die de malware verspreidden en namen deze over. De verspreiding van de malware werd hierdoor direct gestopt.
Schoonmaakoperatie
Uit de recente blogupdate blijkt nu dat dankzij deze actie de betreffende politieorganisaties nu per 25 april ook erin zijn geslaagd om met behulp van speciaal geüploade code de Emotet-malware van al geïnfecteerde en in het botnet geschakelde systemen te verwijderen.
De bestrijders hebben hiervoor vrijwel direct na het overnemen van de C&C-servers een software-update geschreven en deze via het nu gecontroleerde botnet naar alle geïnfecteerde computers gepusht. De update, die door de Nederlandse politie zou zijn verspreid, moest zichzelf op zondag 25 april 2021 activeren en een uninstall routine uitvoeren. Dit heeft nu ook daadwerkelijk plaatsgevonden.
Specifieke dll
Concreet ging het hierbij om de 32-bit-dll EmotetLoader.dll die de malware van alle geïnfecteerde systemen moet verwijderen. De executie van dit dll-bestand zorgt ervoor dat alle diensten die aan Emotet zijn gerelateerd op het betreffende systeem worden verwijderd en dat de run key in de Windows registry wordt verwijderd. Hierdoor starten Emotet-modules niet meer automatisch en worden alle draaiende Emotet-processen beëindigd.
Tip: Podcast G DATA: Is Emotet malware nog gevaarlijk nu het is ontmanteld?
2 minuten geleden
