Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=LNK

Remediación por infección de un gusano LNK malicioso

Siga estos pasos para remediar un ataque de gusano LNK malicioso.

Introducción

Este artículo de la base de conocimiento contiene información útil sobre cómo combatir un gusano LNK. Consulte Cómo investigar el malware LNK.

Identificar la amenaza

Para confirmar que tiene un gusano LNK activo, haga lo siguiente:

  1. Compruebe las alertas para ver si Sophos está detectando o limpiando archivos .lnk.

  2. Busque archivos con una extensión .lnk que se generen repetidamente donde no esperaría encontrarlos, por ejemplo, sus recursos compartidos de archivos.

    Estos archivos se depositan repetidamente en una ubicación después de ser detectados y limpiados. La memoria de sus dispositivos está infectada, lo que hace que esos archivos se depositen allí. Necesita localizar el origen de la infección.

  3. Es posible que los usuarios observen que sus accesos directos ya no funcionan correctamente.

Remediar una infección por un gusano LNK activo

Para eliminar el gusano, haga lo siguiente:

  1. Si el dispositivo infectado no tiene Sophos Endpoint Protection, instálelo.

  2. Ejecute un escaneado completo.

    Así se elimina la infección.

  3. Si sigue viendo archivos .lnk en la ubicación, tiene una infección nueva. Busque el archivo .lnk y envíenos una muestra.

  4. Descargue Autoruns para Windows y utilícelo para localizar el gusano.

    Consulte Cómo utilizar Microsoft Autoruns para localizar malware no detectado.

  5. Verifique las siguientes ubicaciones, ya que son los lugares con más probabilidades de encontrar el gusano.

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  6. Cambie la cuenta de usuario que está viendo. Es posible que una cuenta de usuario no estándar esté cargando el gusano. Para ver otros usuarios en Autoruns, haga lo siguiente:

    1. Haga clic en Archivo > Ejecutar como administrador.

      Espere a que se vuelva a cargar la información en Autoruns.

    2. Haga clic en Usuarios y busque el gusano en cada cuenta de usuario.

      Este gusano se puede ocultar bajo diferentes cuentas de usuario. La siguiente imagen muestra un ejemplo de información de cuenta de usuario infectada en Autoruns.

      Esta captura de pantalla muestra una cuenta de usuario infectada con un gusano LNK.

  7. Cuando haya encontrado los archivos, comprímalos para evitar que se ejecuten.

  8. Envíe los archivos.

    Sophos responderá al envío de la muestra. Si los archivos son maliciosos, Sophos actualiza sus archivos de firma.

  9. Realice un escaneado completo y compruebe que se han limpiado las nuevas detecciones.

  10. Si todavía tiene indicios de un gusano LNK activo, tiene malware adicional no detectado en sus dispositivos. Es posible que se necesiten varios intentos para eliminar el gusano, ya que una sola variante o un dispositivo desprotegido puede producir nuevos archivos de malware .lnk en dispositivos protegidos y limpios.

Vídeo de remediación por infección de un gusano LNK malicioso

Este vídeo detalla el flujo de trabajo de remediación por esta infección.