はじめに

2014年頃から猛威を振るい始めたEmotetですが、2021年1月に攻撃基盤が閉鎖（テイクダウン）されたものの、2021年11月に復活して活動を再開し始めています。

主な感染経路は電子メールのため、もしかすると気づかぬうちに感染してしまっている可能性があります。

そんなEmotetですが、幸いなことにJPCERT/CCから無償でEmtetの感染有無を確かめられるEmoCheckというソフトウェアが配布されています。

自身のPCがEmotetに感染してしまっていないかを調査してみましょう。

環境

• OS：Windows10
• ソフトウェア：EmoCheck 2.4

とりあえず触ってみる

Emocheckは以下のURLからダウンロードできます。
https://github.com/JPCERTCC/EmoCheck/releases

Assetsからemocheck_v2.4_x64.exeをダウンロードします。

EmoCheckにはインストーラのようなモノは存在せず、ダウンロードしたexeファイルを実行するだけでスキャンが開始されます。

それでは、いざ検査してみましょう。

５秒もかからずに完了しました。

どうやら私は感染していないようです。（ほとんどこれ）

スキャン結果はテキストファイルに出力されているらしいです。

中身を見てみましょうか。

[EmoCheck v2.4.0]
プログラム実行時刻: 2023-04-10 15:26:46
____________________________________________________

[結果]
検知しませんでした。

しかしながら、万が一感染していた場合どうなってしまうのか気になります。

今回はINTERNET Watch様の記事から画像を引用させていただきます。
https://internet.watch.impress.co.jp/docs/news/1233055.html

検出されたEmotet関連プロセスとパスを表示してくれるそうです。

まとめ

Emotetの感染時は今ならWindows Defenderにより検知／隔離を行ってくれそうですが、万が一にもアンチウイルスソフトを迂回されてしまうことも考えられるため、こういったツールによる定期的な感染チェックは大事だと思います。

参考文献

• JPCERTCC / EmoCheck
• JPCERT/CC、Emotetの感染チェックツール「EmoCheck」を公開