惡意 LNK 蠕蟲補救

請依照下列步驟補救惡意 LNK 蠕蟲攻擊。

簡介

本知識庫文章提供了有關處理 LNK 蠕蟲的有用資訊。請參閱如何調查 LNK 惡意軟體。

識別威脅

若要確認您是否遇到作用中的 LNK 蠕蟲，請執行下列步驟。

1. 檢查您的警示以查看 Sophos 是否正在偵測或清理 .lnk 檔案。

2. 在您意想不到的地方尋找重複產生之具有 .lnk 副檔名的檔案，例如您的檔案共用。

   這些檔案在被偵測和清理後會反復置放於某個位置。您的裝置置放這些檔案的記憶體中有感染。您需要找到感染的來源。

3. 您的使用者可能會發現他們的捷徑無法正常運作。

補救作用中的 LNK 蠕蟲

如需移除蠕蟲，請執行以下動作：

1. 如果受感染的裝置未安裝 Sophos Endpoint Protection，請安裝。

2. 執行完整掃描。

   這會移除感染。

3. 如果該位置中仍然置放 .lnk 檔案，則這是一種新的感染。尋找 .lnk 檔案並提交樣本。

4. 下載 Autoruns for Windows 並使用它尋找蠕蟲。

   請參閱如何使用 Microsoft Autoruns 來查找未偵測到的惡意軟體。

5. 請檢查下列位置，因為這些位置是最有可能發現蠕蟲的地方。

   • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

6. 變更您正在檢視的使用者帳戶。非標準使用者帳戶可能正在載入蠕蟲。若要檢視 Autoruns 中的其他使用者，請執行下列動作：

   1. 按一下檔案 > 以管理員身分執行。

      等待 Autoruns 中的資訊重新載入。

   2. 按一下使用者，並檢查每個使用者帳戶是否有蠕蟲。

      此蠕蟲可能會隱藏在不同的使用者帳戶下。下圖顯示了 Autoruns 中受感染之使用者帳戶資訊的範例。

      

7. 找到檔案後，請將其壓縮以防止檔案執行。

8. 提交檔案。

   Sophos 將對樣本提交做出回應。如果檔案是惡意檔案，Sophos 將更新其簽名檔案。

9. 執行完整掃描並檢查是否已清除任何新的偵測內容。

10. 如果您仍有作用中 LNK 蠕蟲的跡象，則裝置上還有其他未偵測到的惡意軟體。可能需要多次嘗試才能移除蠕蟲，因為一個變體或未受保護的裝置可能會在受保護且安全的裝置上產生新的 .lnk 惡意軟體檔案。

惡意 LNK 蠕蟲補救影片

本影片涵蓋此工作流程。