技術系

EmocheckでEmotetに感染しているPCを自動で検知&確認

警視庁が作成し公開しているマルウェアのEmotet感染チェックツール通称”Emocheck”ですが、これ、毎日実行して感染を確認するの大変ですよね。

人によってはEmocheckをやってくれたり忘れたり。

 

参考:警視庁が公開しているEmocheckの仕組みとツール

Emocheckとは、世界的に広まっているマルウェアのEmotet(エモテット)の感染を簡易的に確認できるツールです。

emocheck_v2.1_x64.exe をダブルクリックして実行すると次の結果が得られます。

Emocheck結果

Emocheck結果

 

Emocheckをコマンドでサイレント実行

まず、Emocheckはコマンドでも実行できます。

コマンドプロンプトからemocheck_v2.1_x64.exeを実行するだけです。

 

emocheckにはオプションがあり、/quiet を付けることでサイレント実行(画面表示しない)ができます。

コマンド実行イメージは以下の通りです。

 

 

Emocheckの結果を自動で確認しフォルダに振り分け

Emocheckをログオンスクリプトにでも仕込んでおけばサイレント実行後、実行フォルダに"hostname_YYYYMMDDhhmmss_emocheck.txt"のファイルが自動生成されます。

実行結果のサンプルを置いておきます。

[EmoCheck v2.2]
プログラム実行時刻: 2022-05-12 10:15:07
____________________________________________________

[結果]
検知しませんでした。

 

処理概要を大まかに説明します。

Emocheckの実行結果はUTF8なため、SJISに変換が必要です。

SJISへの変換はPowershellでやるのが手っ取り早いので、UTF8からSJISへ変換しちゃいましょう。

あとはtypeコマンドで”検知しませんでした”の文言があればEmotetに感染していないってのがわかるので、別のフォルダにでも入れておきます。

つまり、残っている実行結果がEmotetに感染しているということになりますので、これをさらに確認しましょう。

 

Emotet感染確認bat

 

 

Emocheckの結果を確認するbat

 

著作権フリーです

自分用のメモなので、再販しなければコピペして持って行ってください。

再販したらオコです。

気に入ってくれたらSNSでシェアしてください。


社畜系インフラエンジニアブログのTOPへ戻る

コメントもらえたら泣いて喜びます!
  • この記事を書いた人
  • 最新記事

kanade

IT関連の仕事に従事し気付けば10余年。好きな言葉は「よくわからないけど動いてる」です。どうにかして生き残りたいアラフォーのIT系エンジニア。

-技術系
-,

© 2022 インフラエンジニアブログカナデ