近期，火絨監測到Emotet木馬病毒再次大規模爆發，主要通過魚叉郵件方式進行傳播。當用戶點擊運行郵件附件后，病毒就會被激活，并在終端后臺盜取各類隱私信息，由于魚叉郵件主要針對特定用戶、組織或企業，嚴重威脅企業信息安全，火絨在此緊急提示廣大企業用戶注意防范。火絨用戶無需擔心，火絨已對Emotet木馬病毒進行查殺。

查殺圖

根據“火絨威脅情報中心”監測和評估，本次Emotet木馬病毒來勢洶洶，在11月份快速增長，并于中下旬集中爆發。

Emotet近期增長趨勢

Emotet曾是自2014年至今全球規模最大的僵尸網絡之一，該僵尸網絡在2021年1月被歐洲刑警組織查獲，并于4月25日下發“自毀模塊”后被徹底搗毀。主要通過魚叉郵件進行傳播的Emotet木馬病毒，在過去的7年時間里，給社會帶來了極大損失和影響。

火絨曾在《全球最大僵尸網絡自毀 火絨起底Emotet與安全軟件對抗全過程》一文中，詳細分析了Emotet通過不斷更換外層混淆器，調整自身的代碼邏輯和更新C&C服務器，瘋狂的與安全軟件進行對抗的過程。

火絨再次提醒廣大用戶，尤其企業用戶，請及時做好排查工作，發現可疑郵件可聯系專業人員查看。也可以安裝火絨安全軟件，通過【文件實時監控】、【郵件監控】、【應用加固】和【系統加固】等關鍵性防護功能，避免遭受Emotet木馬病毒威脅，保護終端網絡安全。

一、詳細分析

魚叉郵件中會將惡意文檔（通常為doc、docx、xls、xlsx等）偽裝為企業內部業務相關的溝通信息文檔，從而誘導用戶打開。惡意文檔內的宏腳本被激活后，會啟動powershell下載Emotet木馬病毒，再由rundll32加載執行。Emotet最終會下載執行實質惡意模塊（報告中僅以間諜木馬模塊為例，主要惡意行為為盜取用戶數據）。病毒惡意代碼執行流程，如下圖所示：

病毒惡意代碼執行流程

用于病毒傳播的魚叉郵件內容，如下圖所示：

魚叉郵件內容

本次用作Emotet木馬病毒傳播的惡意文檔內容，如下圖所示：

惡意文檔內容

Emotet木馬病毒執行后會盜取用戶數據，以盜取郵件客戶端工具<Mozilla Thunderbird>數據文件為例，相關行為如下圖所示：

相關惡意行為

盜取郵件客戶端工具<Mozilla Thunderbird>數據文件代碼，如下圖所示：

盜取Thunderbird數據文件代碼

二、同源性分析

經分析發現，該病毒的傳播途徑、惡意行為代碼與之前分析的Emotet病毒具有一定的相似性。以下為該病毒樣本與2021年1月份捕獲到的Emotet樣本在關鍵解密函數的代碼對比圖：

此前報告中Emotet關鍵代碼與當前Emotet關鍵代碼同源性對比