ウイルス対策ソフトをすり抜けるEmotet

3月8日にJPCERT/CCよりEmotetの新たな感染拡大活動に関する注意喚起がなされています。

「マルウェアEmotetの感染再拡大に関する注意喚起」

JPCERT/CCによると、昨年11月以降下火になっていたEmotetの感染に至るメールの配布活動の再開が、3月7日に確認されたとのことです。
最新版のEmotetでは、新たな手法としてメールに添付されるZIPファイルを展開すると500MBを超えるdocファイルが展開されるというケースが確認されています。ファイルのサイズを大きくすることで、ウイルス対策ソフトによる検知の回避を図っていると考えられます。

[図7:500MBを超えるdocファイルを含むZIPアーカイブのサンプル]
画像引用:JPCERT/CC マルウェアEmotetの感染再拡大に関する注意喚起

巨大なサイズのファイルが添付されたメールを受け取ったとき、ウイルススキャンに時間がかかり、結果としてメールサーバー自体が一時的に遅くなりサーバーの安定稼働に悪影響を及ぼすことが想定されるため、一定以上のサイズのファイルはスキャンしない設定を行っているケースがあります。その場合、今回のような攻撃では、ウイルスチェック無しで受信者にマルウェアが到達することが予見されます。
システム管理者・メール利用者は、
・メールサーバーならびにメールサービス側における受信メールのサイズ制限設定の有無
・メールサーバーならびにメールサービス側にウイルス対策が導入されている場合は、ウイルスチェックのサイズ制限設定の有無
・メールをクライアントPCで受け取る場合、クライアントPCに導入されているウイルス対策ソフトのウイルスチェックファイルサイズ制限設定の有無
などを再確認し、今回のケースのような巨大なファイルサイズのマルウェアをメールで受け取った場合に備えてください。

この最新版 Emotetについて検出調査を行ったところ、2021年10月リリースのFFRI yarai 3.4.6以降のバージョンで正常に検出できることを確認しております。

FFRI yaraiでの検出結果は以下の通りです。
■検体名: Emotet(2023年3月版)
ハッシュ値(SHA-256):
d7999362e9a9e140b6d9aa4747e6ed1deb6813bfe33217cd1270e38642f0158a
エンジン:HIPSエンジン
検証環境:Windows10 × FFRI yarai 3.4.6

■検体名: Emotet(2023年3月版 Downloader)
ハッシュ値(SHA-256):
2e116e6a43dcc2ee55df34664a7d5bfae36918f3a8ce5af97be6cb99e3a4de5b
エンジン:HIPSエンジン
検証環境:Windows10 × FFRI yarai 3.4.6

純国産エンドポイントセキュリティFFRI yaraiは、重要と思われるマルウェアの検知を公開しています。

FFRI yaraiマルウェア検出速報

パターンファイルに依存しない純国産のエンドポイントセキュリティFFRI yaraiは、「先読み防御」技術を徹底的に追及しています。FFRI yaraiは、Emotetをはじめ、マルウェアやランサムウェア、脆弱性攻撃などのサイバー攻撃を高精度で検知・防御します。

投稿日:2023-03-16

関連記事 Related Post

FFRIセキュリティ SNS

FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。

FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。

HOME  ≫ FFRIセキュリティ BLOG  ≫ 2023年  ≫ 2023年3月  ≫ ウイルス対策ソフトをすり抜けるEmotet

pagetop