Actualités

EmoCrash : le vaccin secrètement appliqué contre Emotet ! (Dr Quinn, homme cyber-médecin…)

Depuis, au moins, 2014, le malware Emotet (Geodo, Mealybug) constitue une opération malveillante de grande envergure : ciblant les institutions bancaires à ses débuts sous la forme d’un trojan, ce virus se propagea rapidement dans les mails voire dans des campagnes malveillantes sous la forme de botnets… Un couteau-Suisse redoutable que semble avoir jugulé James Quinn…

 

 

En concordance avec le CERT (Team Cymru), le chercheur-analyste sécuritaire a mis au point et déployé, depuis le 6 Février 2020, une rustine corrective (script sous PowerShell) qui limite le champ d’action d’Emotet. Si ce patch n’a été actif “que” pendant quelques mois (jusqu’au 6 Août dernier) il permet de modifier une clé de registre tout en la tronquant, rendant ainsi Emotet inopérationnel : “lorsqu’il accédait à cette clé, EmoCrash se déclenchait toujours et plantait le malware avant qu’il ne puisse communiquer. Malheureusement, ce crash se déclencherait après l’installation d’Emotet (y compris la création de service et la suppression de fichiers). Cependant, le malware ne se connectait pas et le service ne fonctionnait pas. De plus, comme le crash a toujours déclenché les ID d’événement 1000 et 1001, les intervenants ont pu facilement localiser et supprimer ces fichiers“.

 

Un exploit accompli mais qui, fatalement, a été, entre-temps, vu et actualisé par les cyber-attaquants qui ont mis à jour en conséquence Emotet. De manière triviale, James Quinn a soumis une requête d’assignation au MITRE et relative à EmoCrash – un malware au malware ! – qui a été, bien évidemment, rejetée… A veiller !

 

 

Source : Binary Defense – 14 Août 2020 – EmoCrash : rustine efficacement prouvée pendant quelques mois, à l’encontre d’Emotet.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020