Workflow der Bereinigung eines schädlichen LNK-Wurms
Befolgen Sie diese Schritte, um einen böswilligen LNK-Wurmangriff zu beheben.
Einleitung
Dieser Support-Artikel enthält nützliche Informationen zum Umgang mit einem LNK-Wurm. Siehe Untersuchung von LNK-Malware.
Bedrohung identifizieren
Um zu bestätigen, dass Sie von einem aktiven LNK-Wurm betroffen sind, gehen Sie wie folgt vor.
- Überprüfen Sie Ihre Warnmeldungen, um zu sehen, ob Sophos
.lnk
-Dateien erkennt oder bereinigt. -
Suchen Sie nach Dateien mit einer
.lnk
-Erweiterung, die wiederholt an einem ungewöhnlichen Ort generiert werden, zum Beispiel Ihren Dateifreigaben.Diese Dateien werden nach der Erkennung und Bereinigung wiederholt an einem Speicherort abgelegt. Ihre Geräte haben eine Infektion im Speicher, die die Dateien ablegt. Sie müssen die Quelle der Infektion finden.
-
Möglicherweise stellen Ihre Benutzer fest, dass ihre Verknüpfungen nicht mehr richtig funktionieren.
Analyse mit Source of Infection
Verfahren Sie zur Ermittlung der Quelle der Infektion wie folgt:
-
Laden Sie das Tool „Source of Infection“ herunter, und führen Sie es aus. Siehe Sophos Source of Infection Tool (SOI): Download und Verwendung.
- Verschieben Sie das Tool „Source of Infection“ auf das Gerät, das Sie untersuchen möchten.
- Extrahieren Sie
SourceOfInfection.exe
in das Stammverzeichnis von LaufwerkC
. - Öffnen Sie eine Befehlszeile als Administrator.
- Suchen Sie
SourceOfInfection.exe
und führen Sie es aus. - Drücken Sie zum Ausführen des Befehls die Eingabetaste.
- Lassen Sie Source of Infection laufen. Dazu müssen Sie das Befehlszeilenfenster geöffnet lassen.
- Wenn eine neue LNK-Erkennung auf dem Gerät auftritt, beenden Sie Source of Infection, indem Sie das Befehlszeilenfenster schließen.
-
Überprüfen Sie die Protokolldatei, um herauszufinden, woher die Infektion kommt. Sie finden die Protokolldateien unter
%temp%\Source of Infection Log.csv
.Dies ist ein Beispiel für eine Protokolldatei.
Datum/Uhrzeit Filepath Prozess/Netzwerk Prozesspfad/Computername 27-12-19 11:30 C:\TestShareOn2016\__\DriveMgr.exe
Netzwerk 192.168.30.141 27-12-19 11:30 C:\TestShareOn2016\.lnk
Netzwerk 192.168.30.141 Sie sollten eine positive Bestätigung einer IP-Adresse erhalten, die möglicherweise infiziert ist und Bereinigungsmaßnahmen erfordert.
In diesem Beispiel haben wir ermittelt, dass 192.168.30.141
.LNK
undDriveMgr.exe
in einer Freigabe namensTestShareOn2016
ablegt.
Beseitigen eines aktiven LNK-Wurms
Um den Wurm zu entfernen, gehen Sie wie folgt vor:
- Wenn das infizierte Gerät nicht über Sophos Endpoint Protection verfügt, installieren Sie diese.
-
Führen Sie einen vollständigen Scan aus.
Dadurch wird die Infektion entfernt.
-
Wenn immer noch
.lnk
-Dateien am Speicherort abgelegt werden, liegt eine neue Infektion vor. Suchen Sie die.lnk
-Datei und senden Sie ein Sample ein. -
Laden Sie Autoruns für Windows herunter und suchen Sie damit nach dem Wurm.
-
Überprüfen Sie die folgenden Orte, da sich der Wurm dort am wahrscheinlichsten befindet.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
Ändern Sie das angezeigte Benutzerkonto. Möglicherweise wird der Wurm von einem nicht standardmäßigen Benutzerkonto geladen. Gehen Sie wie folgt vor, um andere Benutzer in Autoruns anzuzeigen:
-
Klicken Sie auf Datei > Als Administrator ausführen.
Warten Sie, bis die Informationen in Autoruns neu geladen werden.
-
Klicken Sie auf Benutzer und überprüfen Sie jedes Benutzerkonto auf den Wurm.
Der Wurm kann sich unter verschiedenen Benutzerkonten verbergen. Die folgende Abbildung zeigt ein Beispiel für Details infizierter Benutzerkonten in Autoruns.
-
-
Wenn Sie die Dateien gefunden haben, komprimieren Sie sie, um zu verhindern, dass die Dateien ausgeführt werden.
-
Senden Sie die Dateien ein.
Sophos reagiert auf eingereichte Samples. Wenn die Dateien schädlich sind, aktualisiert Sophos seine Signaturdateien.
-
Führen Sie einen vollständigen Scan durch und überprüfen Sie, ob neue Erkennungen bereinigt wurden.
- Wenn Sie immer noch Anzeichen eines aktiven LNK-Wurms feststellen, befindet sich zusätzliche, nicht erkannte Malware auf Ihren Geräten. Unter Umständen sind mehrere Anläufe zum Entfernen des Wurms erforderlich, da eine einzelne Variante oder ein ungeschütztes Gerät neue
.lnk
-Malware-Dateien auf geschützten und sauberen Geräten erzeugen kann. Verfahren Sie in diesem Fall wie folgt: -
- Führen Sie vollständige Scans aller Ihrer Geräte durch.
- Führen Sie Source of Infection erneut aus, um zu ermitteln, woher die Infektion kommt
- Wiederholen Sie diese Schritte, bis keine
.lnk
-Malware-Dateien mehr auf Ihren Geräten repliziert werden.
Video zur Bereinigung eines schädlichen LNK-Wurms
In diesem Video wird dieser Workflow behandelt.