コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=LNK

悪意のある LNK ワームの修復

悪意のある LNK ワーム攻撃を修復するには、次の手順を実行します。

はじめに

この文章には、LNKワームの対処方法に関する有用な情報が記載されています。詳細は、LNK マルウェアの調査方法を参照してください。

脅威を特定する

LNK ワームがアクティブであることを確認するには、次の手順を実行します。

  1. 警告をチェックして、ソフォス が .lnk ファイルを検出またはクリーンアップしているかどうかを確認します。

  2. ファイル共有などの予期しない場所に繰り返し .lnk の拡張子が付いたファイルが生成されいないかどうかを確認します。

    これらのファイルは、検出されて駆除された後も繰り返しドロップされます。デバイスのメモリが感染しているため、ファイルがドロップされています。感染源を見つける必要があります。

  3. ユーザーはショートカットが正しく機能しなくなったことを見つける場合があります。

アクティブな LNK ワームを修復する

ワームを削除するには、次の手順を実行します。

  1. 感染したデバイスに Sophos Endpoint Protection がない場合は、インストールします。

  2. フル検索を実行します。

    これにより、感染が除去されます。

  3. それでも .lnk ファイルがドロップされる場合は、新たな感染が発生しています。.lnk ファイルを検索し、サンプルを送信します。

  4. Autoruns for Windows をダウンロード して、ワームを見つけます。

    詳細は、Microsoft Autoruns を使用して検出されないマルウェアを検出する方法を参照してください。

  5. ワームが見つかる可能性が最も高い場所として、次の場所を確認してください。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  6. 表示しているユーザーアカウントを変更します。標準以外のユーザーアカウントがワームを読み込んでいる可能性があります。Autoruns で他のユーザーを表示するには、次の手順を実行します。

    1. ファイル > 管理者として実行」の順にクリックします。

      Autoruns の情報が再読み込みされるまで待ちます。

    2. ユーザー」をクリック し、ワームに関して各ユーザアカウントを確認します。

      このワームは、別のユーザーアカウントでは非表示になることがあります。以下は、自動応答で感染したユーザーアカウント情報の例を示しています。

      このスクリーンショットは、LNK ワームに感染したユーザーアカウントを示しています。

  7. ファイルが見つかったら、ファイルを圧縮して、ファイルが実行されないようにします。

  8. ファイルを送信します。

    ソフォスがサンプルの送信に対して応答します。ファイルが悪意のあるものである場合、ソフォスはシグネチャファイルを更新します。

  9. フル検索を実行して、新しい検出がクリーンアップされていることを確認します。

  10. それでも LNK ワームがアクティブである兆候がある場合は、未検出の別のマルウェアがデバイス上に存続することになります。1つの亜種または保護されていないデバイスが、保護されたクリーンなデバイス上に新しい .lnk マルウェアファイルを生成する可能性があるため、このワームの削除には数回の除去操作が必要になる場合があります。

悪意のある LNK ワームの修復動画

この動画では、このワークフローについて説明します。