Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/mdr/help/it-it/index.html?contextId=LNK

Flusso di lavoro per la correzione di un worm LNK dannoso

Seguire questa procedura per risolvere un attacco causato da un worm LNK dannoso.

Introduzione

Questo articolo della knowledge base contiene informazioni utili su come gestire la presenza di un worm LNK. Vedere Come svolgere indagini sul malware LNK.

Identificazione della minaccia

Per confermare la presenza di un worm LNK attivo, procedere come descritto di seguito.

  1. Controllare gli avvisi per verificare se Sophos sta rilevando o rimuovendo file .lnk.

  2. Cercare i file nei quali l’estensione .lnk è stata generata ripetutamente in percorsi in cui non ci si aspetta di trovare questi tipi di file, ad esempio nelle condivisioni file.

    Questi file vengono ripetutamente rilasciati in un percorso dopo essere stati rilevati e rimossi. I dispositivi hanno un’infezione nella memoria che continua a rilasciare questi file. Occorre individuare l’origine dell’infezione.

  3. Gli utenti potrebbero notare che i collegamenti non funzionano più correttamente.

Indagini con la funzionalità Source of Infection

Per individuare l’origine dell’infezione, procedere come segue:

  1. Scaricare ed eseguire lo strumento Source of Infection. Vedere Strumento Sophos source of infection (SOI): come scaricarlo e utilizzarlo.

    1. Salvare lo strumento Source of Infection sul dispositivo che si desidera sottoporre a indagine.
    2. Estrarre SourceOfInfection.exe nella directory radice dell’unità C.
    3. Aprire il Prompt dei comandi come amministratore.
    4. Trovare ed eseguire SourceOfInfection.exe.
    5. Premere Invio per eseguire il comando.
    6. Lasciare in esecuzione Source of Infection. Per farlo, occorre lasciare aperta la finestra del prompt dei comandi.
    7. Quando si verifica un nuovo rilevamento di LNK sul dispositivo, arrestare Source of Infection chiudendo la finestra del prompt dei comandi.

  2. Controllare il file di log per individuare da dove proviene l’infezione. I file di log si trovano in %temp%\Source of Infection Log.csv.

    Quello che segue è un esempio di file di log.

    Data/ora Percorso file Processo/rete Percorso processo/Nome computer
    27-12-19 11:30 C:\TestShareOn2016\__\DriveMgr.exe Rete 192.168.30.141
    27-12-19 11:30 C:\TestShareOn2016\.lnk Rete 192.168.30.141

    Si dovrebbe avere conferma che un IP è probabilmente infetto e ha bisogno di azioni correttive.

    In questo esempio, abbiamo identificato 192.168.30.141 come IP che ha rilasciato .LNK e DriveMgr.exe in una condivisione chiamata TestShareOn2016.

Correzione di un worm LNK attivo

Per rimuovere il worm, procedere come segue:

  1. Se il dispositivo infetto non ha Sophos Endpoint Protection, installarla.

  2. Eseguire una scansione completa.

    In questo modo, si rimuoverà l’infezione.

  3. Se si osservano ancora file .lnk rilasciati nel percorso, è in corso una nuova infezione. Trovare il file .lnk e inviare un campione.

  4. Scaricare Esecuzione automatica per Windows e utilizzarla per trovare il worm.

    Vedere Come utilizzare le esecuzioni automatiche di Microsoft per individuare malware non rilevato.

  5. Esaminare i seguenti percorsi, in quanto sono quelli dove è più probabile che venga rilevato il worm.

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  6. Modificare l’account utente che si sta visualizzando. Il worm potrebbe essere caricato da un account utente non standard. Per visualizzare altri utenti nelle esecuzioni automatiche, procedere come segue:

    1. Cliccare su File > Esegui come amministratore.

      Attendere che vengano caricate le informazioni nelle esecuzioni automatiche.

    2. Cliccare su Utenti e verificare tutti gli account utente per vedere se contengono il worm.

      Questo worm può nascondersi in più account utente diversi. L’immagine seguente mostra un esempio di informazioni sull’account di un utente infetto nelle esecuzioni automatiche.

      Questo screenshot mostra un account utente infettato da un worm LNK.

  7. Una volta trovati i file, comprimerli per impedirne l’esecuzione.

  8. Inviare i file.

    Sophos risponderà al messaggio di invio del campione. Se i file sono dannosi, Sophos ne aggiornerà i file di firma.

  9. Eseguire una scansione completa e verificare che tutti i nuovi rilevamenti siano stati rimossi.

  10. Se ci sono ancora tracce di un worm LNK attivo, significa che è presente altro malware non rilevato sui dispositivi. La rimozione del worm potrebbe richiedere diversi tentativi, in quanto un’unica variante o un solo dispositivo non protetto possono produrre nuovi file di malware .lnk su dispositivi protetti e puliti. Per risolvere questo problema, procedere come segue:
    1. Eseguire scansioni complete di tutti i dispositivi.
    2. Eseguire di nuovo Source of Infection per vedere da dove proviene l’infezione.
    3. Ripetere questi passaggi fino a quando i file di malware .lnk non vengono più replicati sui dispositivi.

Video sulla correzione di un worm LNK dannoso

Il video descrive questo flusso di lavoro.