【SKYSEA】emotet(エモテット)検知できる？ユーザーにバレずに実行する方法

エモチェックを持たれていない方は下記からダウンロード可能です。

エモチェックダウンロードページ

64bit版と32bit(*86)版があります。

ひとまず、私は両方のbit数のバージョンをダウンロードしておきました。

筆者

社内には、bit数が違う端末が混在しているからね

エモチェックを動かすバッチファイルを作成します。

メモ帳を開いて、下記コードを貼り付けします。

指定フォルダは任意で設定してください。

@echo off

rem 【注意点】エモチェックは、指定フォルダと同じパスに置いておくこと。


rem 指定フォルダのパスをセット
set path=\\○○○\○○\○○\


rem エモチェック(64bit)をセット（エモチェックのバージョンは要確認）
set emocheck64=emocheck_v2.0_x64.exe
rem エモチェック(32bit)をセット（エモチェックのバージョンは要確認）
set emocheck32=emocheck_v2.0_x86.exe


rem 日付をセット
set yyyymmdd=%DATE:/=%

rem 日付フォルダ未作成の場合は作成
if not exist %path%%yyyymmdd% mkdir %path%%yyyymmdd%


rem ビット数を判定して実行ファイル名をセット
if "%PROCESSOR_ARCHITECTURE%" equ "AMD64" (set emocheck=%emocheck64%) else (set emocheck=%emocheck32%)


rem エモチェックを実行後、指定フォルダにログ出力
%path%%emocheck% /quiet /output %path%%yyyymmdd%



rem 参考サイト
rem Emotetの感染チェックツール「EmoCheck」を定期的に自動実行する方法
rem https://skill-note.net/post-1221/


exit

メモ帳を保存するときには、文字コードを『ANSI』にしてください。

保存ができたら、拡張子を『txt→bat』に変更します。

バッチファイルの名前は任意です。

ただし。

vbsファイルを作成するときには、任意で設定したバッチファイル名をセットしてください。

下記の３つは同じフォルダに置いてください。

同じフォルダに置いてね

バッチファイルは、非表示で動かすことをオススメします。

筆者

コマンドプロンプト（黒画面）が突然！表示されたらびっくりしますよね

vbsファイルを作成することで、エモチェックバッチファイルを非表示で実行可能になります。

バッチファイルを作成したときと同様に、メモ帳に下記コードを貼り付けしてください。

たったの２行

Set ws = CreateObject("Wscript.Shell")
ws.run "\\○○○\○○\○○\エモチェックバッチファイル.bat", vbhide

“\○○○\○○\○○\エモチェックバッチファイル.bat”は、エモチェックバッチファイルを置いているパスをセットしてください。

コードの貼り付けが完了したら、拡張子を『txt→vbs』に変更して完了です。

筆者

以下からはSKYSEA管理画面になるのでお見せすることはできません

作成したVBSファイルをSKYSEAで、一斉に配信-実行して完了です。

あとは自動的にログファイルを指定フォルダに出力してくれます。
ログファイルを一括で開いて、内容チェックをしていきます。

通常、なにも問題がないときの結果

筆者

よし、この調子で全台確認していくぞ！

ここで！情システクニック

一括で開いたログファイルは『ALTキー＋F４キー』で閉じていこう！（最前面のウインドウを閉じることができます）

筆者

『ALTキー＋F４キー』連打（昨日の晩御飯はなんだったけぇ・・・）
・
・
・
ん。

筆者

でぃてくてっど？？？

Emotet was not detected

突然の英語表記に驚きました笑。

どうも、OSがWindows７の場合には英語表記になるようです。

（訳）エモテットは検出されませんでした。