1.概要

emotet(エモテット)に感染しているかどうかは以下のサイトから感染有無確認ツールをダウンロードして実行することにより確認ができることを前回紹介した。


また、エモテットに感染していた場合、工場出荷時にリカバリーするのが間違いはないが、エモテットだけを駆除する方法もある。しかし、これは結構面倒くさい。

2.エモテットを駆除しようとするが

前回のエモチェックをすることにより、エモテットに感染しているかがわかる。エモチェックをデスクトップで実行したのであれば、同じところに下のようなテキストファイルが出来ているはずである。

これは検知されなかった場合だが、検知された場合、ファイルの場所などが書かれているので、それを削除すればいいのだが、簡単に消せないようになっている。

3.具体的な削除方法

エモテットが検知された場合「以下のファイルに結果を出力しました」と表示され、エモチェックを行った場所にテキストファイルが出来るので、それをメモ帳で開きます。

JPCERT/CCより抜粋

ここで、イメージパスと言うのがエモテットである。
イメージパス:C:\Users\User\AppData\Local\certreq.exe
「イメージパスの実行ファイルを隔離/削除してください。」とあるが、
このAppDataフォルダは隠しファイルになっている。「表示」タブで「隠しファイル」にチェックをすれば表示される。

この中にあるcertreq.exeを削除すればいいのだが、実行されているので、消すことができない。

そこで、サービスを止めてから削除することになる。

CTRL+ALT+DEL で、タスクマネージャーを詳細で開く。先ほどのテキストファイルに、

プロセスID:8468と書いてあるので、タスクマネージャーの詳細タブのPIDに8468を探すとcertreq.exeがあるので右クリックして停止する。

JPCERT/CCより抜粋

後は、該当するファイルを削除すればよい。

ただ、これはエモテットを消しただけである。スタートアップに何かベースになる偽装したファイルをコピーして登録する仕掛けがされていれば、再び現れるかもしれないし、タスクに呼び寄せる仕組みを入れられているかもしれない。レジストリに埋め込まれているかもしれない。考えるときりがない。ウイルスも進化しているので、エモチェックでもチェックできないよう進化していることも考えられる。

やはり工場出荷時にリカバリーするのが最も安全だろう。

詳しくは以下のサイトに紹介されているので自分で消したい場合は参照されたい。

https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

おすすめの記事