[注意喚起]EMOTETの拡散と感染拡大について



[公開日時:2022年03月04日 20:30]

トレンドマイクロでも現在EMOTETに関するメールの受信や感染事例の増加を確認しておりますので注意喚起させていただきます。

■EMOTETの概要や製品の推奨設定について

EMOTETの動作概要や、製品でより防御を強化するにあたっての推奨設定の情報については、下記サイトで情報を提供しています。ぜひご確認ください。
EMOTET 概要から対策まで

■対応方法

EMOTETの侵入が疑われる検出があった場合や疑わしいメールを開いた場合には、以下の製品Q&Aをご確認ください。
「EMOTET」に関連するメールを開いてしまった場合の対応

■検出対応状況

本件に関連する不正プログラムは、以下のパターンで収集した検体を順次対応を行っています。
-スマートスキャンエージェントパターン/スマートスキャンパターン
-従来型スキャンパターン
-DDI/DDAN/DDEI用ウイルスパターン

●ウイルスパターンでの検出名の例
-Trojan.X97M.EMOTET.YXCBY
-TrojanSpy.Win32.EMOTET.YJCBP
-Trojan.XF.EMOTET.YXCBY
-Trojan.Win32.EMOTET.CFO
-Trojan.BAT.EMOTET.YXCBK
-Trojan.VBS.EMOTET.YXCBJ
※検出名の中に「EMOTET」と記載されています。
※多数検出名が存在するため、上記は一例となります。

●機械学習での検出状況は以下となります。
-TROJ.Win32.TRX.XXPE50F13005
-TROJ.Win32.TRX.XXPE50F13005R2D6F
-Troj.Win32.TRX.XXPE50FFF031
-Downloader.VBA.TRX.XXVBAF01FF005
-Downloader.VBA.TRX.XXVBAF01FF005
-TSPY.Win32.TRX.XXPE50FFF050E0002

●仮想アナライザでの対応状況は以下となります。
-VAN_BACKDOOR.UMXX
-VAN_WORM.UMXX
-VAN_DROPPER.UMXX
-VAN_BOT.UMXX

●Trend Micro Deep Discovery Inspector では以下ルールで対応しています。
-DDI-RULE-1541:EMOTET - HTTP (Request)
-DDI-RULE-2608:EMOTET - HTTP (Response) - Variant 2
-DDI-RULE-2701:Possible EMOTET - HTTP (Response) - Variant 3
-DDI-RULE-2897:EMOTET - HTTP (Request) - Variant 4
-DDI-RULE-4232:EMOTET - HTTP (Request) - Variant 5
-DDI-RULE-4320:EMOTET - HTTP (Request) - Variant 6
-DDI-RULE-4345:EMOTET - HTTP (Request) - Variant 7

●高度な脅威検索エンジンでは下記の検出名で検出される場合があります。
-HEUR_XLS.XLM.L

●Trend Micro TippingPoint では以下ルールで対応しています。
(要 ThreatDV ライセンス、フィルタ有効化)
-28409: HTTP: Emotet Checkin Request

今後とも弊社製品をご愛顧くださいますよう、よろしくお願いいたします。


■更新履歴

日付 更新履歴
2022/03/04 20:30 新規公開
2022/03/07 14:00 TippingPoint の対応ルールを追記


Copyright (c) Trend Micro Incorporated. All rights reserved.