Исследователь Binary Defense Джеймс Куинн (James Quinn) полгода тайно распространял вакцину от опасного трояна. Так он боролся с крупнейшим ботнетом Emotet.

В феврале 2020 года Куинн обнаружил в коде Emotet уязвимость. Изменение коснулось механизма сохранения персистентности на компьютере, части кода, которая ответственна за “выживание» вредоноса в системе после её перезагрузки. Куинн заметил, что Emotet создаёт ключ реестра Windows и сохраняет в нём ключ шифрования XOR. Однако этот ключ реестра использовался не только для сохранения вредоносного ПО в системе, но и был частью многих других проверок кода Emotet, в том числе процедуры предварительного заражения.

В итоге Куине, используя уязвимость, смог написать скрипт PowerShell, который использовал механизм ключей реестра для атак на сам Emotet. Исследователь проверил, что это работает: он пытался заразить “чистый» компьютер вредоносным ПО Emotet, но заражение предотвращалось. То есть получилась своего рода вакцина.

На уже заражённых компьютерах скрипт смог “выключить» работу Emotet. К сожалению, операторы ботнета уже устранили уязвимость, но в течение полугода она спасала компьютеры от заражений.

Источник: Ferra