Emotet木马病毒变种通过Outlook钓鱼电子邮件进行传播。邮件随附受感染的Word、Excel和Zip文件，可将Emotet部署至受害者的主机。这些电子邮件包含具有吸引力的主题行，例如时事新闻、发票及虚假公司备忘录，以诱骗受害者将其打开。最近，Emotet还开始通过伪装成Adobe软件的恶意Windows应用安装程序包进行传播。

感染执行过程如下：群发钓鱼邮件，运行附件后doc文档中的宏代码获得执行，宏代码启动powershell进程下载执行Emotet木马病毒运行后将自身拷贝到system32目录下重命名并创建为服务运行。

钓鱼邮件内容有各种类型，包括“发票交易”、“收据”、“会议邀请”等。邮件附件中的doc文档带有宏代码，宏代码脚本加了大量的注释以干扰分析，去掉注释后的宏代码如下，其主要功能是：利用Powershell下载执行emotet木马病毒。

安全建议

1.建议不要打开不明来源的邮件附件，对于附件中的文件要谨慎打开，如果附件是可执行程序，一定不要随意运行。

2.升级office系列软件到最新版本，及时修复office组件漏洞，除非确认文档来源可靠，否则不要启用宏。