筆者ユーザーには内緒で、SKYSEAでエモテットの有無を検知したい!
上記のお悩みを解決します。
- 【ユーザーにバレずに】SKYSEAの配信-実行機能とエモチェックを併用して、エモテットの有無を検知する方法
- 私がSKYSEAとエモチェックを実際に使って、エモテットの有無を検知しています。(ユーザーにはバレていません)
- SKYSEAを使って、エモテットの有無を『ユーザーにバレない方法』で検知をしたい方
- 情シスや経営者の方
それでは本題に入ります。
中小企業の小規模情シス(総員2名)勤務歴まもなく10年目。
特技はSSD換装。
車1台は買えるくらいトランスフォーマーに注ぎ込んできました。
職場で日経パソコンや日経コンピュータを読み漁る日々。
おかげで、最新のパソコン機器やデバイスの知識は常にアップデート状態。
私が雑誌に読みふける一方で、取引先のシステム開発メーカーの方はプログラム作成・修正に追われている。
次第に、システム開発メーカーの中堅の方を憂うようになる。
システム開発屋さんから情シスに転職したい方の手助けをするためにブログを立ち上げた。
狙うは『中小企業の小規模情シス』。
一度きりしかない人生を少しでもより良いものにしませんか?
SKYSEAでエモテットを検知する方法
結論です。
『ユーザーにバレずに』SKYSEAでエモテットを検知する方法は下記です。
SKYSEA管理者が、クライアント各端末へエモチェック非表示実行.vbsを配信-実行する
ポイントは、エモチェック非表示実行.vbsを使うところです。
エモチェック非表示実行.vbsを使うメリットは2つあります。
2つのメリット
- ユーザーにバレない
- OSのビット数を自動で判定してくれる
vbsファイルを使わなくても、エモチェックの実行ファイル(exeファイル)を配信-実行することはできます。
しかし、実行ファイル(exeファイル)をユーザーに配信してしまうとコマンドプロンプト画面がいきなり現れてしまいます。
それこそ、『ウイルスに感染した!!』って思われるでしょうね。
筆者情シスの皆さんならわかると思いますが、ユーザーからの電話が殺到します笑
ユーザーからの苦情電話を避けるためにも、エモチェックは非表示で実行することをオススメします。
手順は下記です。
『ユーザーにバレずに』エモチェックを配信する方法
- エモチェックをダウンロード
- エモチェックを動かすバッチファイルを作成
- バッチファイルを非表示で動かすvbsファイルを作成
- SKYSEA各端末へvbsファイルを配信-実行
くわしく解説します。
emocheckの配信実行
エモチェックを持たれていない方は下記からダウンロード可能です。
64bit版と32bit(*86)版があります。
ひとまず、私は両方のbit数のバージョンをダウンロードしておきました。
筆者社内には、bit数が違う端末が混在しているからね
エモチェックを動かすバッチファイルを作成します。
メモ帳を開いて、下記コードを貼り付けします。
@echo off
rem 【注意点】エモチェックは、指定フォルダと同じパスに置いておくこと。
rem 指定フォルダのパスをセット
set path=\\○○○\○○\○○\
rem エモチェック(64bit)をセット(エモチェックのバージョンは要確認)
set emocheck64=emocheck_v2.0_x64.exe
rem エモチェック(32bit)をセット(エモチェックのバージョンは要確認)
set emocheck32=emocheck_v2.0_x86.exe
rem 日付をセット
set yyyymmdd=%DATE:/=%
rem 日付フォルダ未作成の場合は作成
if not exist %path%%yyyymmdd% mkdir %path%%yyyymmdd%
rem ビット数を判定して実行ファイル名をセット
if "%PROCESSOR_ARCHITECTURE%" equ "AMD64" (set emocheck=%emocheck64%) else (set emocheck=%emocheck32%)
rem エモチェックを実行後、指定フォルダにログ出力
%path%%emocheck% /quiet /output %path%%yyyymmdd%
rem 参考サイト
rem Emotetの感染チェックツール「EmoCheck」を定期的に自動実行する方法
rem https://skill-note.net/post-1221/
exitメモ帳を保存するときには、文字コードを『ANSI』にしてください。
保存ができたら、拡張子を『txt→bat』に変更します。
バッチファイルの名前は任意です。
ただし。
vbsファイルを作成するときには、任意で設定したバッチファイル名をセットしてください。
下記の3つは同じフォルダに置いてください。
同じフォルダに置いてね
- バッチファイル
- vbsファイル
- emocheck
バッチファイルは、非表示で動かすことをオススメします。
筆者コマンドプロンプト(黒画面)が突然!表示されたらびっくりしますよね
vbsファイルを作成することで、エモチェックバッチファイルを非表示で実行可能になります。
バッチファイルを作成したときと同様に、メモ帳に下記コードを貼り付けしてください。
たったの2行
Set ws = CreateObject("Wscript.Shell")
ws.run "\\○○○\○○\○○\エモチェックバッチファイル.bat", vbhideコードの貼り付けが完了したら、拡張子を『txt→vbs』に変更して完了です。
筆者以下からはSKYSEA管理画面になるのでお見せすることはできません
作成したVBSファイルをSKYSEAで、一斉に配信-実行して完了です。
あとは自動的にログファイルを指定フォルダに出力してくれます。
ログファイルを一括で開いて、内容チェックをしていきます。
通常、なにも問題がないときの結果
筆者よし、この調子で全台確認していくぞ!
ここで!情システクニック
一括で開いたログファイルは『ALTキー+F4キー』で閉じていこう!(最前面のウインドウを閉じることができます)
筆者『ALTキー+F4キー』連打(昨日の晩御飯はなんだったけぇ・・・)
・
・
・
ん。
筆者でぃてくてっど???
Emotet was not detected
突然の英語表記に驚きました笑。
どうも、OSがWindows7の場合には英語表記になるようです。
(訳)エモテットは検出されませんでした。
まとめ
ポイントをまとめます。
『ユーザーにバレずに』エモテットの有無を検知する方法は下記です。
- エモチェックをダウンロード!
- エモチェックバッチファイルを作成!
- エモチェックバッチファイルを非表示で動かすvbsファイルを作成!
- SKYSEAの『配信-実行』機能を使って、各クライアント端末へ一斉配信!
私の住んでいる地域でも、エモテットの脅威が拡大していると感じています。
あくまでも、エモチェックはエモテットの有無を検知するツールです。
筆者エモテットに感染している場合は手遅れになっていることも考えらえれます・・・
大事なことは、エモテットに感染しないことです。
エモテットに感染しないためには、下記の2点が重要です。
- 差出人のメールアドレスをよく確認する
- 不審なメール内のリンク・添付ファイルは絶対に開かない
差出人はあなたの上司や、社長に偽装しているかもしれません。
あなたが信頼できる相手であっても、メールアドレスを確認すると全く知らない文字列が並んでいる可能性があります。
特に、連休明けはメールをパカパカ開いてしまいがちなので要注意です。
本記事が少しでも皆様のお役に立てることができれば幸いです。以上です。
