Details zur Emotet Deinstallation durch Strafverfolger

[English]Die Emotet-Malware wird am 25. April 2021 automatisch von Windows-Maschinen entfernt. Das erfolgt durch eine Bereinigungsfunktion, die Internationale Strafverfolger auf infizierten Systemen installieren. Jetzt gibt es einige Details, was beim Deinstallieren passiert.


Anzeige

Emotet: Ein Rückblick

Emotet ist eine Familie von Computer-Schadprogrammen in Form von Makroviren, welche die Empfänger über den Anhang sehr echt aussehender E-Mails mit Trojanern infizieren. Wenn ein Empfänger die Anlage bzw. den Anhang der E-Mail öffnet, werden Module mit Schadfunktionen nachgeladen und zur Ausführung gebracht.

Die Emotet-Gruppe war für zahlreiche erfolgreiche Ransomware-Angriffe auf Firmen, Behörden und Institutionen weltweit verantwortlich. Emotet galt als derzeit gefährlichste Schadsoftware weltweit und hat neben Computern hunderttausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert.

Emotet besaß als sogenannter „Downloader" die Funktion, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Ausspähen von gespeicherten Passwörtern oder zur Verschlüsselung des Systems für Erpressungen. Die Nutzung dieses durch die Täter geschaffenen „Botnetzes" wurde zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der „Underground Economy" gegen Entgelt angeboten. Deshalb kann das kriminelle Geschäftsmodell von Emotet als „Malware-as-a-Service" bezeichnet werden.

Die Woche war bekannt geworden, dass internationale Strafverfolgungsbehörden aus Deutschland, den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA, die Infrastruktur der Schadsoftware Emotet mit Unterstützung von Europol und Eurojust übernommen haben, um das Netzwerk und zu zerschlagen. Die Details zur Aktion finden sich im Blog-Beitrag BKA: Infrastruktur der Emotet-Schadsoftware übernommen und zerschlagen.

Emotet soll deinstalliert werden

Durch die Übernahme der Emotet Command & Control-Server (C&C) konnten die Strafverfolger die Nachladefunktion für Schadsoftware über die C&C-Server modifizieren und eigene Module auf den infizierten Opfer-Systemen installieren. Die Schadfunktionen wurden gleichzeitig deaktiviert. Gleichzeitig können die Opfer-Systeme nur noch mit den kontrollierten C&C-Servern kommunizieren. Sicherheitsforscher ist zudem aufgefallen, dass eine Deinstallationsroutine auf die Systeme gelangte, die die Malware am 25. April 2021 deinstallieren soll. Ich habe im Blog-Beitrag Emotet deinstalliert sich angeblich am 25. April 2021 darüber berichtet.

Es ist aktuell unklar, welche Strafverfolger für die Quarantäne- und Deinstallationsroutinen verantwortlich sind. Auch gab es Diskussionen, ob so etwas in Deutschland zulässig ist. Die US-Strafverfolger hatten in dieser Mitteilung bestätigt, dass man international daran arbeite, infizierte Computer von Emotet zu säubern.

Foreign law enforcement, working in collaboration with the FBI, replaced Emotet malware on servers located in their jurisdiction with a file created by law enforcement, according to the affidavit. This was done with the intent that computers in the United States and elsewhere that were infected by the Emotet malware would download the law enforcement file during an already-programmed Emotet update. The law enforcement file prevents the administrators of the Emotet botnet from further communicating with infected computers. The law enforcement file does not remediate other malware that was already installed on the infected computer through Emotet; instead, it is designed to prevent additional malware from being installed on the infected computer by untethering the victim computer from the botnet.

Dort heißt es nur, dass Updates an infizierte Rechner verteilt wurden, die verhindern, dass die dass die Administratoren des Emotet-Botnets weiter mit infizierten Computern kommunizieren. Dieses Update entfernt keine andere Malware, die bereits über Emotet auf dem infizierten Computer installiert wurde. Sie soll aber verhindern, dass weitere Malware auf dem infizierten Computer installiert wird, indem sie den Computer des Opfers vom Botnet abkoppelt. FBI-Mitarbeiter haben zudem weltweit Hoster über IP-Adressen informiert, die mit den Emotet-C&C-Servern kommunizieren, was auf infizierte Rechner hindeutet.

In diesem Malwarebytes-Artikel findet sich noch eine interessante Information. Auch dort wird angemerkt, dass das Einschleusen von Code über ein Botnet ein heikles Thema ist, vor allem wegen der rechtlichen Konsequenzen, die solche Aktionen mit sich bringen. In der eidesstattlichen Erklärung des US-Justizministeriums (DOJ) sei vermerkt, wie die "ausländischen Strafverfolgungsbeamten, nicht FBI-Agenten, die Emotet-Malware, die auf einem Server in Übersee gespeichert ist, durch die von den Strafverfolgungsbehörden erstellte Datei ersetzt haben". Es ist also eine Strafverfolgungsbehörde, wobei nicht klar ist, wer dahinter steckt.Bleeping Computer hatte beim BKA nachgefragt, hat aber laut diesem Artikel keine weiteren Details mehr erfahren.

Details zur Deinstallation

Nun gibt es neue Erkenntnisse, was bei der Emotet-Deinstallation am 25. April 2020 passieren wird. Sicherheitsanalysten von Malwarebytes haben sich die Routinen angesehen und ihre Erkenntnisse publiziert (siehe folgender Tweet).

Malwarebytes: Emotet uninstall analysis


Anzeige

Die ausgelieferte Datei EmotetLoader.dll exportiert drei Funktionen zur Deinstallation der Malware. Eine Funktion enthält die Prüfung, ob der 25. April 2021 erreicht oder überschritten wurde. Trifft dies zu, wird die Säuberung über eine Deinstallationsfunktion gestartet. Diese löscht schlicht alle Dienste, die in Verbindung mit Emotet stehen. Zudem wird der Run-Schlüssel in der Registrierung von Windows entfernt, so dass keine Emotet-Module mehr automatisch gestartet werden. Und es werden alle laufenden Emotet-Prozesse beendet. Die genauen Pfade zur Registrierung etc. lassen sich im Malwarebytes-Blog-Beitrag nachlesen.

Ähnliche Artikel:
Cryptolaemus und der Kampf gegen Emotet
EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate
Warnung vor neuer Emotet-Ransomware-Welle (Sept. 2020)
Emotet wütet bei der Studienstiftung des deutschen Volkes
Emotet-Trojaner/Ransomware weiter aktiv
Microsoft warnt vor massiver Emotet-Kampagne
Emotet-Trojaner kann Computer im Netzwerk überlasten
Emotet Malware als vermeintliches Word-Update getarnt

Emotet-Trojaner-Befall in Berliner Oberlandesgericht
Emotet-Infektion an Medizinischer Hochschule Hannover
Emotet C&C-Server liefern neue Schadsoftware aus–Neustadt gerade infiziert
Emotet-Trojaner bei heise, Troy Hunt verkauft Website
Emotet zielt auf Banken in DACH
Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt
Neu Emotet-Kampagne zu Weihnachten 2020
BKA: Infrastruktur der Emotet-Schadsoftware übernommen und zerschlagen
Emotet deinstalliert sich angeblich am 25. April 2021


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Details zur Emotet Deinstallation durch Strafverfolger

  1. No sagt:

    Interessant (d.h. schwierig) wird es, wenn Anti-Viren-Sotware die dll vom BKA als malware klassifizieren und entfernen. In welchem Zustand wäre der PC/Server dann?

    Viele Strukturen sind im 19. Jhd geschaffen worden und passen nicht in die digitale Welt, in der die Täter in einem Land (mit Duldung der Regierung?) wohnen, aber mit Servern in vielen Ländern Straftaten begehen. Ein Verhaften der Täter ist da schwierig, aber das Blocken bzw Übernehmen von Servern könnte gehen.

  2. mw sagt:

    Grundsätzlich ist die Deinstalltionsroutine Computersabotage. Sollte dabei irgendetwas schiefgehen, setzt sich der Inverkehrbringer hohen Schadenersatzforderungen aus. Es stellt sich auch die Frage warum der 25, April abgewartet werden soll und nicht asap die Malware entfernt wird. Was haben die Übernehmer der Server vor? Vlt. hilft es das Datum mal auf den 01. Mai zusetzen und neu zu starten.

Schreibe einen Kommentar zu 1ST1 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.