惡意 LNK 蠕蟲補救工作流程
請依照下列步驟補救惡意 LNK 蠕蟲攻擊。
簡介
本知識庫文章提供了有關處理 LNK 蠕蟲的有用資訊。請參閱如何調查 LNK 惡意軟體。
識別威脅
若要確認您是否遇到作用中的 LNK 蠕蟲,請執行下列步驟。
- 檢查您的警示以查看 Sophos 是否正在偵測或清理
.lnk
檔案。 -
在您意想不到的地方尋找重複產生之具有
.lnk
副檔名的檔案,例如您的檔案共用。這些檔案在被偵測和清理後會反復置放於某個位置。您的裝置置放這些檔案的記憶體中有感染。您需要找到感染的來源。
-
您的使用者可能會發現他們的捷徑無法正常運作。
使用 Source of Infection 進行調查
要尋找感染的來源,請執行以下操作:
-
下載並執行 Source of Infection 工具。請參見 Sophos Source of Infection 工具 (SOI):如何下載和使用。
- 將 Source of Infection 工具移至您要調查的裝置。
- 解壓縮
SourceOfInfection.exe
到C
磁碟機的根目錄。 - 以系統管理員身分開啟命令提示字元。
- 尋找並執行
SourceOfInfection.exe
。 - 按下 Enter 鍵執行命令。
- 保持執行 Source of Infection。您必須讓命令提示字元視窗保持開啟,才能執行此動作。
- 當裝置上出現新的 LNK 偵測時,關閉命令提示字元視窗以停止 Source of Infection。
-
檢閱記錄檔,瞭解感染來自何處。您可以在
%temp%\Source of Infection Log.csv
中找到記錄檔。以下是記錄檔的範例。
日期/時間 檔案路徑 程序/網路 程序路徑/機器名稱 27-12-19 11:30 C:\TestShareOn2016\__\DriveMgr.exe
網路 192.168.30.141 27-12-19 11:30 C:\TestShareOn2016\.lnk
網路 192.168.30.141 您應該對可能受感染並需要採取補救措施的 IP 有正面的確認。
在本範例中,我們將 192.168.30.141 識別為在名為
TestShareOn2016
的共用中置放.LNK
和DriveMgr.exe
。
補救作用中的 LNK 蠕蟲
如需移除蠕蟲,請執行以下動作:
- 如果受感染的裝置未安裝 Sophos Endpoint Protection,請安裝。
-
執行完整掃描。
這會移除感染。
-
如果該位置中仍然置放
.lnk
檔案,則這是一種新的感染。尋找.lnk
檔案並提交樣本。 -
下載 Autoruns for Windows 並使用它尋找蠕蟲。
-
請檢查下列位置,因為這些位置是最有可能發現蠕蟲的地方。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
變更您正在檢視的使用者帳戶。非標準使用者帳戶可能正在載入蠕蟲。若要檢視 Autoruns 中的其他使用者,請執行下列動作:
-
按一下檔案 > 以管理員身分執行。
等待 Autoruns 中的資訊重新載入。
-
按一下使用者,並檢查每個使用者帳戶是否有蠕蟲。
此蠕蟲可能會隱藏在不同的使用者帳戶下。下圖顯示了 Autoruns 中受感染之使用者帳戶資訊的範例。
-
-
找到檔案後,請將其壓縮以防止檔案執行。
-
提交檔案。
Sophos 將對樣本提交做出回應。如果檔案是惡意檔案,Sophos 將更新其簽名檔案。
-
執行完整掃描並檢查是否已清除任何新的偵測內容。
- 如果您仍有作用中 LNK 蠕蟲的跡象,則裝置上還有其他未偵測到的惡意軟體。可能需要多次嘗試才能移除蠕蟲,因為一個變體或未受保護的裝置可能會在受保護且安全的裝置上產生新的
.lnk
惡意軟體檔案。如需處理這種情況,請依照下列步驟操作: -
- 對所有裝置執行完整掃描。
- 重新執行 Source of Infection 以查看感染來自何處
- 重複這些步驟,直到
.lnk
惡意軟體檔案不再複製到裝置上為止。
惡意 LNK 蠕蟲補救影片
本影片涵蓋此工作流程。