Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/mdr/help/fr-fr/index.html?contextId=LNK

Flux de travail de résolution des problèmes avec le ver LNK

Procédez comme suit pour remédier à une attaque malveillante du ver LNK.

Introduction

Cet article de la base de connaissances contient des informations utiles sur le traitement d’un ver LNK. Voir Comment mener une investigation sur le malware LNK.

Identifier la menace

Pour confirmer que vous avez un ver LNK actif, procédez comme suit :

  1. Vérifiez vos alertes pour voir si Sophos détecte ou nettoie des fichiers .lnk.

  2. Recherchez les fichiers dont l’extension .lnk est générée à plusieurs reprises à un emplacement dans lequel ils ne devraient pas se trouver, par exemple vos partages de fichiers.

    Ces fichiers sont déposés à plusieurs reprises dans un emplacement après avoir été détectés et nettoyés. La mémoire de vos appareils est infectée qui entraîne le dépôt de ces fichiers à cet emplacement. Vous devez trouver la source de l’infection.

  3. Vos utilisateurs peuvent constater que leurs raccourcis ne fonctionnent plus correctement.

Mener une investigation en utilisant la source de l’infection

Pour trouver la source de l’infection, procédez comme suit :

  1. Téléchargez et exécutez l’outil Source of Infection. Voir Outils Sophos SOI (source of infection) : Comment le télécharger et l’utiliser.

    1. Déplacez l’outil Source of Infection sur l’appareil sur lequel vous souhaitez mener votre investigation.
    2. Procédez à l’extraction du programme SourceOfInfection.exe sur la racine du lecteur C.
    3. Ouvrez une fenêtre d’Invite de commande en tant qu’administrateur.
    4. Recherchez et exécutez SourceOfInfection.exe.
    5. Appuyez sur Entrée pour exécuter la commande.
    6. Laissez l’outil Source of Infection faire son travail. Pour ce faire, vous devez laisser la fenêtre d’invite de commande ouverte.
    7. Lorsqu’une nouvelle détection LNK se produit sur l’appareil, arrêtez l’outil Source of Infection en fermant la fenêtre d’invite de commande.

  2. Consultez le fichier journal pour savoir d’où provient l’infection. Vous trouverez le fichier journal dans %temp%\Source of Infection Log.csv

    Voici un exemple de fichier journal.

    Date/Heure Chemin du fichier Processus/réseau Chemin du processus/Nom de la machine
    27-12-19 11:30 C:\TestShareOn2016\__\DriveMgr.exe Réseau 192.168.30.141
    27-12-19 11:30 C:\TestShareOn2016\.lnk Réseau 192.168.30.141

    Vous devez avoir une confirmation positive qu’une IP est potentiellement infectée et nécessite des actions correctives.

    Dans cet exemple, nous avons identifié que l’adresse 192.168.30.141 dépose des fichiers .LNK et DriveMgr.exe dans un partage appelé TestShareOn2016.

Corriger un ver LNK actif

Pour supprimer le ver, procédez comme suit :

  1. Si Sophos Endpoint Protection n’est pas installé sur l’appareil infecté, veuillez l’installer.

  2. Exécutez un contrôle complet.

    Ceci élimine l’infection.

  3. Si vous voyez toujours des fichiers .lnk à l’emplacement, vous avez une nouvelle infection. Recherchez le fichier .lnk et envoyez un échantillon.

  4. Téléchargez Autoruns pour Windows et utilisez-le pour trouver le ver.

    Voir Comment utiliser Microsoft Autoruns pour retrouver un malware non détecté

  5. Vérifiez les emplacements suivants car ils sont les endroits les plus probables où vous trouverez le ver.

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  6. Modifiez le compte d’utilisateur que vous consultez. Un compte d’utilisateur non standard peut charger le ver. Pour afficher d’autres utilisateurs dans Autoruns, procédez comme suit :

    1. Cliquez sur Fichier > Exécuter en tant qu’administrateur.

      Patientez pendant le rechargement des informations dans Autoruns.

    2. Cliquez sur Utilisateurs et vérifiez chaque compte d’utilisateur pour le ver.

      Ce ver peut se dissimuler sous différents comptes d’utilisateur. L’image suivante montre un exemple d’informations de compte d’utilisateur infecté dans Autoruns.

      Cette capture d’écran montre un compte d’utilisateur infecté par un ver LNK.

  7. Lorsque vous avez trouvé les fichiers, compressez-les pour les empêcher de s’exécuter.

  8. Envoyez les fichiers.

    Sophos répondra à l’échantillon envoyé. Si les fichiers sont malveillants, Sophos met à jour ses fichiers de signature.

  9. Effectuez un contrôle complet et vérifiez que les nouvelles détections sont nettoyées.

  10. Si vous avez toujours des signes d’un ver LNK actif, vous avez d’autres malwares non détectés sur vos appareils. Plusieurs tentatives peuvent être nécessaires pour supprimer le ver, car une seule variante ou un seul appareil non protégé peut produire de nouveaux fichiers .lnk malveillants sur les appareils protégés et nettoyés. Procédez de la manière suivante :
    1. Effectuez des contrôles complets de tous vos appareils.
    2. Exécutez de nouveau l’outil Source of Infection pour voir d’où provient l’infection
    3. Répétez ces étapes jusqu’à ce que vous ne puissiez plus répliquer de fichiers malveillants .lnk sur vos appareils.

Vidéo de la résolution des problèmes avec le ver LNK

Cette vidéo aborde ce flux de travail.