网络安全专家表示，Emotet僵尸网络在中断5个月后开始通过电子邮件传播恶意软件。

• 网络安全专家宣布，Emotet 在中断 5 个月后再次向全球发送垃圾邮件以寻找新的受害者。
• 专家警告用户注意附加的 XLS 文件以及压缩和受密码保护的 XLS，这是 Emotet 最常用的方法。
• Excell 文件指示用户将文件复制到 Templates 文件夹中，以便能够在下载恶意软件之前绕过 Microsoft Office 的受保护视图。

---

研究人员表示，Emotet 恶意软件操作在静默 5 个月后再次发送垃圾邮件恶意电子邮件。它是传播最广泛的恶意软件之一，然后在 6 月 13 日突然停止运行。Emotet通过使用 Excel 或 Word 文档的网络钓鱼活动传播恶意软件感染。

5个月后活跃

当用户打开 Excell 或 Word 文档并启用宏时，它会下载 Emotet DLL 并将其加载到内存中。Emotet 不仅搜索和窃取电子邮件以进一步扩大其垃圾邮件活动，而且还丢弃 Cobalt Strike 或其他恶意软件等有效负载，这可能导致勒索软件攻击。

研究小组Cryptolaemus表示，11 月 2 日，Emotet 操作再次活跃起来，并开始在全球范围内发送垃圾邮件。根据上传到VirusTotal的用户报告，恶意文件正以各种语言和文件名发送给全球用户。这些文件中的大多数都伪装成发票、扫描件、电子表格或其他文件。

 

当从 Internet 下载文件时，Microsoft 会在文件中添加一个 Mark-of-the-Web 标志。当用户打开它时，它将在受保护的视图中打开，这可以防止宏安装恶意软件和执行恶意软件。但最新版本的 Emotet Excel 文件指示用户将文件复制到受信任的模板文件夹中，从而使恶意软件能够绕过受保护的视图。但是，Windows 仍然会警告用户并要求管理员允许这样做。如果用户从 Templates 文件夹打开附件，它会执行将下载恶意软件的宏。