这样，当恶意软件检查注册表中的文件名时，它将加载一个空的exe“.exe”，从而阻止恶意软件在目标系统上运行。

Quinn指出：“当恶意软件试图执行’.exe’时，它将无法运行，因为’.’会转换为许多操作系统的当前工作目录。”。

还不止这些。Quinn在一个名为emoclash的临时版本的kill switch中说，他能够利用恶意软件安装例程中发现的缓冲区溢出漏洞，在安装过程中使Emotet崩溃，从而有效防止用户受到感染。

因此，该脚本没有重置注册表值，而是通过标识系统体系结构来为用户的卷序列 生成安装注册表值，使用它来保存832字节的缓冲区。

Quinn说：“这个小小的数据缓冲区是崩溃Emotet所需的全部，甚至可以在感染前（如疫苗）或感染中期（如killswitch）部署。”将出现两个带有事件ID 1000和1001的崩溃日志，在部署killswitch（和计算机重新启动）后，可以使用这两个崩溃日志来标识具有禁用和死机emote二进制文件的端点。”

为了对威胁参与者保密并修补他们的代码，二进制防御系统表示，他们与计算机应急小组（CERTs）和Cymru团队协调，将EmoCrash漏洞脚本分发给易受攻-击的组织。

虽然Emotet在4月中旬退出了基于注册表项的安装方法，但直到8月6日，恶意软件加载程序的更新才完全删除了易受攻-击的注册表值代码。

奎恩说：“在2020年7月17日，Emotet在经历了几个月的发展期之后，终于回到了垃圾信息时代。”由于EmoCrash在全面回归之初仍处于活动状态，直到8月6日，EmoCrash能够完全保护Emotet。”