Emotet在2014年出现时只是一款银行木马，经过近几年的发展，Emotet的功能不断扩展，已经进化成为完整的恶意软件分发服务。

Emotet发展史

Emotet 恶意软件第一个版本出现于2014年，通过拦截互联网流量来窃取银行凭证信息。当时，Emotet恶意软件的攻击目标是德国和奥地利的银行。

很快，第二个版本出现了，并增加了一些额外的模块，比如转账、垃圾邮件、DDoS和地址簿窃取模块。Emotet 第三版出现于2015年，主要升级了反绕过功能，并将瑞士的银行加入了潜在攻击目标列表。

2016年12月，Emotet第4个版本出现，修改了攻击向量。第4版最初主要依赖RIG 4.0漏洞利用套件来进入受害者计算机，随后转向垃圾邮件。之后，第4版从使用自己的银行模块转向在受感染的机器上释放其他的木马。

根据使用的模块不同，Emotet 恶意软件可以执行大量的恶意活动。病毒的大多数版本包括一个垃圾邮件模块，可以通过从受感染的机器来发送恶意邮件来传播恶意软件。另一个非常常见的模块是凭证窃取模块，允许Emotet 来从web浏览器和邮件客户端窃取敏感信息。

从2017年开始，Emotet木马中出现了传播器模块，可以用来感染通过本地网络互联的所有机器。此外，病毒还实现了地址簿窃取模块，分析了邮件发送者和接收者之间的关系，并用收集来的信息来增强随后从用户计算机发起的攻击活动的有效性，用个人定制化的垃圾邮件来攻击朋友、家庭成员和大学同学。

Emotet 恶意软件通过模块的使用和不同的反绕过函数提供了许多灵活的功能，还实现了驻留。为确保恶意软件在受感染的机器中，恶意软件会注入运行的进程中，一般是Explorer.exe。此外，恶意软件还用计划任务和修改注册表的方法。

Emotet 恶意软件分析

ANY.RUN 的一个视频展示了Emotet的执行过程，对该恶意软件的行为进行了详细分析。