EmoCheck で Emotetに感染してるかをチェックしてみた【Windows】

Emotet とは

マクロウイルスに分類されるマルウェアです。

自分に関係のあるように騙ったメールに添付されることが多く、そのようなメールを受け取った方は多いのではないでしょうか。

もう少し Emotet について知りたい方は以下の動画や解説記事が参考になると思います。

EmoCheck とは

以下の記事で知ったのですが、JPCERT/CC が提供する OSS の Emotet 検出ツールです。

3/4 に検出方法をアップデートした最新バージョンの v2.1 が公開されたようなので実際に動かしてみました。

やってみた

EmoCheck をダウンロードする

https://github.com/JPCERTCC/EmoCheck/releases

GitHub 上で公開されていますので、上記の release ページから最新のバイナリをダウンロードします。

x86 と x64 でバイナリが分かれていますので実行環境のアーキテクチャに合わせてダウンロードしましょう。

おまけ: ハッシュ値をチェックする

ダウンロードしたものが改ざんされていないか、もし自分でダウンロードしたものでなく、他人からエグゼファイルを渡されてこれを実行してと言われた時に、それが本当に Emocheck なのかを確かめる方法としてハッシュ値の確認があります。

PowerShell を開き以下のコマンドを実行してください。（ファイル名は適宜変更してください）

Get-FileHash .\emocheck_v2.1_x64.exe

そうすると以下の形で SHA256 によるハッシュ値が表示されます。

Algorithm       Hash                                                                   Path
---------       ----                                                                   ----
SHA256          8D701BAF910408CD27B8487BA3C854B05178B431878ACC2C5DBA1F87E0B671B4       C:\Users\USER001\Downloads\…

そして EmoCheck のリリースページで配布しているエグゼファイルのハッシュ値を確認し、両者が一致していれば JPCERT/CC によって配布されているバイナリであることが確認できます。

EmoCheck を実行する

ダウンロードしたエグゼファイルをそのまま実行するだけで OK です。

以下のように「Emotet は検知されませんでした」と表示されれば感染していていないことが分かります。

また実行結果がファイルで出力されます。中身は以下の通りでした。

[EmoCheck v2.1]
プログラム実行時刻: 2022-03-09 09:31:23
____________________________________________________

[結果]
検知しませんでした。

また EmoCheck には実行時にオプションを付けることで、実行結果を JSON 形式で出力することも可能です。

.\emocheck_v2.1_x64.exe -json

{
  "scan_time":"2022-03-09 09:34:16",
  "hostname":"HL00756",
  "emocheck_version":"2.1",
  "is_infected":"no"
}

他にもオプションが用意されていますので README.md を確認してください。

https://github.com/JPCERTCC/EmoCheck

おまけ: EmoCheck の更新通知を RSS で受け取る

GitHub のリリースページのURLの末尾に .atom と付与すれば RSS フィードが取得できます。

https://github.com/JPCERTCC/EmoCheck/releases.atom

これを例えば Slack で以下のコマンドを実行してリリースに関する情報のフィードを購読することができます。

/feed subscribe https://github.com/JPCERTCC/EmoCheck/releases.atom

URL

• https://github.com/JPCERTCC/EmoCheck