Flujo de trabajo de remediación por infección de un gusano LNK malicioso
Siga estos pasos para remediar un ataque de gusano LNK malicioso.
Introducción
Este artículo de la base de conocimiento contiene información útil sobre cómo combatir un gusano LNK. Consulte Cómo investigar el malware LNK.
Identificar la amenaza
Para confirmar que tiene un gusano LNK activo, haga lo siguiente:
- Compruebe las alertas para ver si Sophos está detectando o limpiando archivos
.lnk
. -
Busque archivos con una extensión
.lnk
que se generen repetidamente donde no esperaría encontrarlos, por ejemplo, sus recursos compartidos de archivos.Estos archivos se depositan repetidamente en una ubicación después de ser detectados y limpiados. La memoria de sus dispositivos está infectada, lo que hace que esos archivos se depositen allí. Necesita localizar el origen de la infección.
-
Es posible que los usuarios observen que sus accesos directos ya no funcionan correctamente.
Investigar usando Source of Infection
Para encontrar el origen de la infección, haga lo siguiente:
-
Descargue y ejecute la herramienta Source of Infection. Consulte Herramienta Source of Infection (SOI) de Sophos: Cómo descargarla y utilizarla.
- Mueva la herramienta Source of Infection al dispositivo que desea investigar.
- Extraiga
SourceOfInfection.exe
en la raíz de la unidadC
. - Abra la línea de comandos como administrador.
- Busque
SourceOfInfection.exe
y ejecútela. - Pulse Intro para ejecutar el comando.
- Deje Source of Infection ejecutándose. Para ello, debe dejar abierta la ventana de la línea de comandos.
- Cuando se produzca una nueva detección de LNK en el dispositivo, detenga Source of Infection cerrando la ventana de la línea de comandos.
-
Revise el archivo de registro para averiguar de dónde procede la infección. Encontrará el archivo de registro en
%temp%\Source of Infection Log.csv
.Este es un ejemplo de un archivo de registro.
Fecha y hora Ruta del archivo Proceso/Red Ruta del proceso/Nombre del equipo 27-12-19 11:30 C:\TestShareOn2016\__\DriveMgr.exe
Red 192.168.30.141 27-12-19 11:30 C:\TestShareOn2016\.lnk
Red 192.168.30.141 Debe tener una confirmación positiva de que una IP está potencialmente infectada y requiere medidas de remediación.
En este ejemplo, hemos identificado que 192.168.30.141 deposita los archivos
.LNK
yDriveMgr.exe
en un recurso compartido llamadoTestShareOn2016
.
Remediar una infección por un gusano LNK activo
Para eliminar el gusano, haga lo siguiente:
- Si el dispositivo infectado no tiene Sophos Endpoint Protection, instálelo.
-
Ejecute un escaneado completo.
Así se elimina la infección.
-
Si sigue viendo archivos
.lnk
en la ubicación, tiene una infección nueva. Busque el archivo.lnk
y envíenos una muestra. -
Descargue Autoruns para Windows y utilícelo para localizar el gusano.
Consulte Cómo utilizar Microsoft Autoruns para localizar malware no detectado.
-
Verifique las siguientes ubicaciones, ya que son los lugares con más probabilidades de encontrar el gusano.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
Cambie la cuenta de usuario que está viendo. Es posible que una cuenta de usuario no estándar esté cargando el gusano. Para ver otros usuarios en Autoruns, haga lo siguiente:
-
Haga clic en Archivo > Ejecutar como administrador.
Espere a que se vuelva a cargar la información en Autoruns.
-
Haga clic en Usuarios y busque el gusano en cada cuenta de usuario.
Este gusano se puede ocultar bajo diferentes cuentas de usuario. La siguiente imagen muestra un ejemplo de información de cuenta de usuario infectada en Autoruns.
-
-
Cuando haya encontrado los archivos, comprímalos para evitar que se ejecuten.
-
Envíe los archivos.
Sophos responderá al envío de la muestra. Si los archivos son maliciosos, Sophos actualiza sus archivos de firma.
-
Realice un escaneado completo y compruebe que se han limpiado las nuevas detecciones.
-
Si todavía tiene indicios de un gusano LNK activo, tiene malware adicional no detectado en sus dispositivos. Es posible que se necesiten varios intentos para eliminar el gusano, ya que una sola variante o un dispositivo desprotegido puede producir nuevos archivos de malware
.lnk
en dispositivos protegidos y limpios. Proceda de la manera siguiente: -
- Realice un escaneado completo de todos sus dispositivos.
- Vuelva a ejecutar Source of Infection para ver de dónde procede la infección.
- Repita estos pasos hasta que ya no se repliquen archivos de malware
.lnk
en sus dispositivos.
Vídeo de remediación por infección de un gusano LNK malicioso
Este vídeo detalla el flujo de trabajo de remediación por esta infección.