Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=LNK

Correzione di un worm LNK dannoso

Seguire questa procedura per risolvere un attacco causato da un worm LNK dannoso.

Introduzione

Questo articolo della knowledge base contiene informazioni utili su come gestire la presenza di un worm LNK. Vedere Come svolgere indagini sul malware LNK.

Identificazione della minaccia

Per confermare la presenza di un worm LNK attivo, procedere come descritto di seguito.

  1. Controllare gli avvisi per verificare se Sophos sta rilevando o rimuovendo file .lnk.

  2. Cercare i file nei quali l’estensione .lnk è stata generata ripetutamente in percorsi in cui non ci si aspetta di trovare questi tipi di file, ad esempio nelle condivisioni file.

    Questi file vengono ripetutamente rilasciati in un percorso dopo essere stati rilevati e rimossi. I dispositivi hanno un’infezione nella memoria che continua a rilasciare questi file. Occorre individuare l’origine dell’infezione.

  3. Gli utenti potrebbero notare che i collegamenti non funzionano più correttamente.

Correzione di un worm LNK attivo

Per rimuovere il worm, procedere come segue:

  1. Se il dispositivo infetto non ha Sophos Endpoint Protection, installarla.

  2. Eseguire una scansione completa.

    In questo modo, si rimuoverà l’infezione.

  3. Se si osservano ancora file .lnk rilasciati nel percorso, è in corso una nuova infezione. Trovare il file .lnk e inviare un campione.

  4. Scaricare Esecuzione automatica per Windows e utilizzarla per trovare il worm.

    Vedere Come utilizzare le esecuzioni automatiche di Microsoft per individuare malware non rilevato.

  5. Esaminare i seguenti percorsi, in quanto sono quelli dove è più probabile che venga rilevato il worm.

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  6. Modificare l’account utente che si sta visualizzando. Il worm potrebbe essere caricato da un account utente non standard. Per visualizzare altri utenti nelle esecuzioni automatiche, procedere come segue:

    1. Cliccare su File > Esegui come amministratore.

      Attendere che vengano caricate le informazioni nelle esecuzioni automatiche.

    2. Cliccare su Utenti e verificare tutti gli account utente per vedere se contengono il worm.

      Questo worm può nascondersi in più account utente diversi. L’immagine seguente mostra un esempio di informazioni sull’account di un utente infetto nelle esecuzioni automatiche.

      Questo screenshot mostra un account utente infettato da un worm LNK.

  7. Una volta trovati i file, comprimerli per impedirne l’esecuzione.

  8. Inviare i file.

    Sophos risponderà al messaggio di invio del campione. Se i file sono dannosi, Sophos ne aggiornerà i file di firma.

  9. Eseguire una scansione completa e verificare che tutti i nuovi rilevamenti siano stati rimossi.

  10. Se ci sono ancora tracce di un worm LNK attivo, significa che è presente altro malware non rilevato sui dispositivi. La rimozione del worm potrebbe richiedere diversi tentativi, in quanto un’unica variante o un solo dispositivo non protetto possono produrre nuovi file di malware .lnk su dispositivi protetti e puliti.

Video sulla correzione di un worm LNK dannoso

Il video descrive questo flusso di lavoro.