Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/mdr/help/de-de/index.html?contextId=LNK

Workflow der Bereinigung eines schädlichen LNK-Wurms

Befolgen Sie diese Schritte, um einen böswilligen LNK-Wurmangriff zu beheben.

Einleitung

Dieser Support-Artikel enthält nützliche Informationen zum Umgang mit einem LNK-Wurm. Siehe Untersuchung von LNK-Malware.

Bedrohung identifizieren

Um zu bestätigen, dass Sie von einem aktiven LNK-Wurm betroffen sind, gehen Sie wie folgt vor.

  1. Überprüfen Sie Ihre Warnmeldungen, um zu sehen, ob Sophos .lnk-Dateien erkennt oder bereinigt.

  2. Suchen Sie nach Dateien mit einer .lnk-Erweiterung, die wiederholt an einem ungewöhnlichen Ort generiert werden, zum Beispiel Ihren Dateifreigaben.

    Diese Dateien werden nach der Erkennung und Bereinigung wiederholt an einem Speicherort abgelegt. Ihre Geräte haben eine Infektion im Speicher, die die Dateien ablegt. Sie müssen die Quelle der Infektion finden.

  3. Möglicherweise stellen Ihre Benutzer fest, dass ihre Verknüpfungen nicht mehr richtig funktionieren.

Analyse mit Source of Infection

Verfahren Sie zur Ermittlung der Quelle der Infektion wie folgt:

  1. Laden Sie das Tool „Source of Infection“ herunter, und führen Sie es aus. Siehe Sophos Source of Infection Tool (SOI): Download und Verwendung.

    1. Verschieben Sie das Tool „Source of Infection“ auf das Gerät, das Sie untersuchen möchten.
    2. Extrahieren Sie SourceOfInfection.exe in das Stammverzeichnis von Laufwerk C.
    3. Öffnen Sie eine Befehlszeile als Administrator.
    4. Suchen Sie SourceOfInfection.exe und führen Sie es aus.
    5. Drücken Sie zum Ausführen des Befehls die Eingabetaste.
    6. Lassen Sie Source of Infection laufen. Dazu müssen Sie das Befehlszeilenfenster geöffnet lassen.
    7. Wenn eine neue LNK-Erkennung auf dem Gerät auftritt, beenden Sie Source of Infection, indem Sie das Befehlszeilenfenster schließen.

  2. Überprüfen Sie die Protokolldatei, um herauszufinden, woher die Infektion kommt. Sie finden die Protokolldateien unter %temp%\Source of Infection Log.csv.

    Dies ist ein Beispiel für eine Protokolldatei.

    Datum/Uhrzeit Filepath Prozess/Netzwerk Prozesspfad/Computername
    27-12-19 11:30 C:\TestShareOn2016\__\DriveMgr.exe Netzwerk 192.168.30.141
    27-12-19 11:30 C:\TestShareOn2016\.lnk Netzwerk 192.168.30.141

    Sie sollten eine positive Bestätigung einer IP-Adresse erhalten, die möglicherweise infiziert ist und Bereinigungsmaßnahmen erfordert.

    In diesem Beispiel haben wir ermittelt, dass 192.168.30.141 .LNK und DriveMgr.exe in einer Freigabe namens TestShareOn2016 ablegt.

Beseitigen eines aktiven LNK-Wurms

Um den Wurm zu entfernen, gehen Sie wie folgt vor:

  1. Wenn das infizierte Gerät nicht über Sophos Endpoint Protection verfügt, installieren Sie diese.

  2. Führen Sie einen vollständigen Scan aus.

    Dadurch wird die Infektion entfernt.

  3. Wenn immer noch .lnk-Dateien am Speicherort abgelegt werden, liegt eine neue Infektion vor. Suchen Sie die .lnk-Datei und senden Sie ein Sample ein.

  4. Laden Sie Autoruns für Windows herunter und suchen Sie damit nach dem Wurm.

    Siehe Auffinden unerkannter Malware mit Microsoft Autoruns.

  5. Überprüfen Sie die folgenden Orte, da sich der Wurm dort am wahrscheinlichsten befindet.

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  6. Ändern Sie das angezeigte Benutzerkonto. Möglicherweise wird der Wurm von einem nicht standardmäßigen Benutzerkonto geladen. Gehen Sie wie folgt vor, um andere Benutzer in Autoruns anzuzeigen:

    1. Klicken Sie auf Datei > Als Administrator ausführen.

      Warten Sie, bis die Informationen in Autoruns neu geladen werden.

    2. Klicken Sie auf Benutzer und überprüfen Sie jedes Benutzerkonto auf den Wurm.

      Der Wurm kann sich unter verschiedenen Benutzerkonten verbergen. Die folgende Abbildung zeigt ein Beispiel für Details infizierter Benutzerkonten in Autoruns.

      Dieser Screenshot zeigt ein Benutzerkonto, das mit einem LNK-Wurm infiziert ist.

  7. Wenn Sie die Dateien gefunden haben, komprimieren Sie sie, um zu verhindern, dass die Dateien ausgeführt werden.

  8. Senden Sie die Dateien ein.

    Sophos reagiert auf eingereichte Samples. Wenn die Dateien schädlich sind, aktualisiert Sophos seine Signaturdateien.

  9. Führen Sie einen vollständigen Scan durch und überprüfen Sie, ob neue Erkennungen bereinigt wurden.

  10. Wenn Sie immer noch Anzeichen eines aktiven LNK-Wurms feststellen, befindet sich zusätzliche, nicht erkannte Malware auf Ihren Geräten. Unter Umständen sind mehrere Anläufe zum Entfernen des Wurms erforderlich, da eine einzelne Variante oder ein ungeschütztes Gerät neue .lnk-Malware-Dateien auf geschützten und sauberen Geräten erzeugen kann. Verfahren Sie in diesem Fall wie folgt:
    1. Führen Sie vollständige Scans aller Ihrer Geräte durch.
    2. Führen Sie Source of Infection erneut aus, um zu ermitteln, woher die Infektion kommt
    3. Wiederholen Sie diese Schritte, bis keine .lnk-Malware-Dateien mehr auf Ihren Geräten repliziert werden.

Video zur Bereinigung eines schädlichen LNK-Wurms

In diesem Video wird dieser Workflow behandelt.