Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/mdr/help/es-es/index.html?contextId=LNK

Flujo de trabajo de remediación por infección de un gusano LNK malicioso

Siga estos pasos para remediar un ataque de gusano LNK malicioso.

Introducción

Este artículo de la base de conocimiento contiene información útil sobre cómo combatir un gusano LNK. Consulte Cómo investigar el malware LNK.

Identificar la amenaza

Para confirmar que tiene un gusano LNK activo, haga lo siguiente:

  1. Compruebe las alertas para ver si Sophos está detectando o limpiando archivos .lnk.

  2. Busque archivos con una extensión .lnk que se generen repetidamente donde no esperaría encontrarlos, por ejemplo, sus recursos compartidos de archivos.

    Estos archivos se depositan repetidamente en una ubicación después de ser detectados y limpiados. La memoria de sus dispositivos está infectada, lo que hace que esos archivos se depositen allí. Necesita localizar el origen de la infección.

  3. Es posible que los usuarios observen que sus accesos directos ya no funcionan correctamente.

Investigar usando Source of Infection

Para encontrar el origen de la infección, haga lo siguiente:

  1. Descargue y ejecute la herramienta Source of Infection. Consulte Herramienta Source of Infection (SOI) de Sophos: Cómo descargarla y utilizarla.

    1. Mueva la herramienta Source of Infection al dispositivo que desea investigar.
    2. Extraiga SourceOfInfection.exe en la raíz de la unidad C.
    3. Abra la línea de comandos como administrador.
    4. Busque SourceOfInfection.exe y ejecútela.
    5. Pulse Intro para ejecutar el comando.
    6. Deje Source of Infection ejecutándose. Para ello, debe dejar abierta la ventana de la línea de comandos.
    7. Cuando se produzca una nueva detección de LNK en el dispositivo, detenga Source of Infection cerrando la ventana de la línea de comandos.

  2. Revise el archivo de registro para averiguar de dónde procede la infección. Encontrará el archivo de registro en %temp%\Source of Infection Log.csv.

    Este es un ejemplo de un archivo de registro.

    Fecha y hora Ruta del archivo Proceso/Red Ruta del proceso/Nombre del equipo
    27-12-19 11:30 C:\TestShareOn2016\__\DriveMgr.exe Red 192.168.30.141
    27-12-19 11:30 C:\TestShareOn2016\.lnk Red 192.168.30.141

    Debe tener una confirmación positiva de que una IP está potencialmente infectada y requiere medidas de remediación.

    En este ejemplo, hemos identificado que 192.168.30.141 deposita los archivos .LNK y DriveMgr.exe en un recurso compartido llamado TestShareOn2016.

Remediar una infección por un gusano LNK activo

Para eliminar el gusano, haga lo siguiente:

  1. Si el dispositivo infectado no tiene Sophos Endpoint Protection, instálelo.

  2. Ejecute un escaneado completo.

    Así se elimina la infección.

  3. Si sigue viendo archivos .lnk en la ubicación, tiene una infección nueva. Busque el archivo .lnk y envíenos una muestra.

  4. Descargue Autoruns para Windows y utilícelo para localizar el gusano.

    Consulte Cómo utilizar Microsoft Autoruns para localizar malware no detectado.

  5. Verifique las siguientes ubicaciones, ya que son los lugares con más probabilidades de encontrar el gusano.

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  6. Cambie la cuenta de usuario que está viendo. Es posible que una cuenta de usuario no estándar esté cargando el gusano. Para ver otros usuarios en Autoruns, haga lo siguiente:

    1. Haga clic en Archivo > Ejecutar como administrador.

      Espere a que se vuelva a cargar la información en Autoruns.

    2. Haga clic en Usuarios y busque el gusano en cada cuenta de usuario.

      Este gusano se puede ocultar bajo diferentes cuentas de usuario. La siguiente imagen muestra un ejemplo de información de cuenta de usuario infectada en Autoruns.

      Esta captura de pantalla muestra una cuenta de usuario infectada con un gusano LNK.

  7. Cuando haya encontrado los archivos, comprímalos para evitar que se ejecuten.

  8. Envíe los archivos.

    Sophos responderá al envío de la muestra. Si los archivos son maliciosos, Sophos actualiza sus archivos de firma.

  9. Realice un escaneado completo y compruebe que se han limpiado las nuevas detecciones.

  10. Si todavía tiene indicios de un gusano LNK activo, tiene malware adicional no detectado en sus dispositivos. Es posible que se necesiten varios intentos para eliminar el gusano, ya que una sola variante o un dispositivo desprotegido puede producir nuevos archivos de malware .lnk en dispositivos protegidos y limpios. Proceda de la manera siguiente:

    1. Realice un escaneado completo de todos sus dispositivos.
    2. Vuelva a ejecutar Source of Infection para ver de dónde procede la infección.
    3. Repita estos pasos hasta que ya no se repliquen archivos de malware .lnk en sus dispositivos.

Vídeo de remediación por infección de un gusano LNK malicioso

Este vídeo detalla el flujo de trabajo de remediación por esta infección.