JPCERT コーディネーションセンター(JPCERT/CC)は2月3日、マルウェア「Emotet」の感染の有無をチェックするツール「EmoCheck」をGitHubで公開した。
使用方法は、まずGitHubからEmotetの感染が疑われる端末に応じたツール(emocheckx86.exeもしくはemocheckx64.exe)をダウンロードし、端末へコピーする。ツールはコマンドプロンプトもしくはPowerShellから実行し、感染している場合は「Emotetのプロセスが見つかりました」、感染していない場合は「Emotetは検知されませんでした」と表示される。
感染している場合は、ツールの実行結果に表示される「イメージパス」フォルダーをエクスプローラーで開き、表示されているexeファイルを削除する。また、タスクマネージャーを起動して、ツールの詳細タブから実行結果に表示されている「プロセスID」を選択し、タスクの終了を選択する。
Emotetが検知された場合の確認画面のイメージ(出典:JPCERT/CC)
※クリックすると拡大画像が見られます
なお、2月3日公開版はコード署名が行われていないことから、ツール実行時にWindowsの注意メッセージが表示されるといい、次のリリース以降で修正する予定だとしている。
