Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=LNK

Résolution des problèmes avec le ver LNK

Procédez comme suit pour remédier à une attaque malveillante du ver LNK.

Introduction

Cet article de la base de connaissances contient des informations utiles sur le traitement d’un ver LNK. Voir Comment mener une investigation sur le malware LNK.

Identifier la menace

Pour confirmer que vous avez un ver LNK actif, procédez comme suit :

  1. Vérifiez vos alertes pour voir si Sophos détecte ou nettoie des fichiers .lnk.

  2. Recherchez les fichiers dont l’extension .lnk est générée à plusieurs reprises à un emplacement dans lequel ils ne devraient pas se trouver, par exemple vos partages de fichiers.

    Ces fichiers sont déposés à plusieurs reprises dans un emplacement après avoir été détectés et nettoyés. La mémoire de vos appareils est infectée qui entraîne le dépôt de ces fichiers à cet emplacement. Vous devez trouver la source de l’infection.

  3. Vos utilisateurs peuvent constater que leurs raccourcis ne fonctionnent plus correctement.

Corriger un ver LNK actif

Pour supprimer le ver, procédez comme suit :

  1. Si Sophos Endpoint Protection n’est pas installé sur l’appareil infecté, veuillez l’installer.

  2. Exécutez un contrôle complet.

    Ceci élimine l’infection.

  3. Si vous voyez toujours des fichiers .lnk à l’emplacement, vous avez une nouvelle infection. Recherchez le fichier .lnk et envoyez un échantillon.

  4. Téléchargez Autoruns pour Windows et utilisez-le pour trouver le ver.

    Voir Comment utiliser Microsoft Autoruns pour retrouver un malware non détecté

  5. Vérifiez les emplacements suivants car ils sont les endroits les plus probables où vous trouverez le ver.

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  6. Modifiez le compte d’utilisateur que vous consultez. Un compte d’utilisateur non standard peut charger le ver. Pour afficher d’autres utilisateurs dans Autoruns, procédez comme suit :

    1. Cliquez sur Fichier > Exécuter en tant qu’administrateur.

      Patientez pendant le rechargement des informations dans Autoruns.

    2. Cliquez sur Utilisateurs et vérifiez chaque compte d’utilisateur pour le ver.

      Ce ver peut se dissimuler sous différents comptes d’utilisateur. L’image suivante montre un exemple d’informations de compte d’utilisateur infecté dans Autoruns.

      Cette capture d’écran montre un compte d’utilisateur infecté par un ver LNK.

  7. Lorsque vous avez trouvé les fichiers, compressez-les pour les empêcher de s’exécuter.

  8. Envoyez les fichiers.

    Sophos répondra à l’échantillon envoyé. Si les fichiers sont malveillants, Sophos met à jour ses fichiers de signature.

  9. Effectuez un contrôle complet et vérifiez que les nouvelles détections sont nettoyées.

  10. Si vous avez toujours des signes d’un ver LNK actif, vous avez d’autres malwares non détectés sur vos appareils. Plusieurs tentatives peuvent être nécessaires pour supprimer le ver, car une seule variante ou un seul appareil non protégé peut produire de nouveaux fichiers .lnk malveillants sur les appareils protégés et nettoyés.

Vidéo de la résolution des problèmes avec le ver LNK

Cette vidéo aborde ce flux de travail.