Fluxo de remediação do worm LNK mal-intencionado
Siga estas etapas para remediar um ataque do worm LNK mal-intencionado.
Introdução
Este artigo da base de conhecimentos tem informações úteis sobre como lidar com um worm LNK. Consulte Como investigar malware LNK.
Identifique a ameaça
Para confirmar que você tem um worm LNK ativo, faça o seguinte.
- Verifique seus alertas para ver se a Sophos está detectando ou limpando arquivos
.lnk
. -
Procure arquivos com a extensão
.lnk
gerados repetidamente onde você não esperaria encontrá-los, por exemplo, em seus compartilhamentos de arquivos.Esses arquivos são repetidamente descartados em um local após serem detectados e limpos. Seus dispositivos têm uma infecção na memória que está descartando os arquivos. Você precisa encontrar a origem da infecção.
-
Seus usuários podem achar que seus atalhos não estão mais funcionando corretamente.
Investigue usando Source of Infection
Para encontrar a origem da infecção, faça o seguinte:
-
Baixe e execute a ferramenta Source of Infection. Consulte Sophos source of infection tool (SOI): Como fazer download e usar.
- Mova a ferramenta Source of Infection para o dispositivo que deseja investigar.
- Extraia
SourceOfInfection.exe
para a raiz da unidadeC
. - Abra o Prompt de comando como administrador.
- Localize e execute
SourceOfInfection.exe
. - Pressione Enter para executar o comando.
- Deixe o Source of Infection em execução. Você deve deixar a janela do prompt de comando aberta para fazer isso.
- Quando ocorrer uma nova detecção do LNK no dispositivo, interrompa o Source of Infection fechando a janela do prompt de comando.
-
Revise o arquivo de log para descobrir de onde vem a infecção. Você encontra os arquivos de log em
%temp%\Source of Infection Log.csv
.Este é um exemplo de um arquivo de log.
Data/Hora Caminho do arquivo Processo/rede Caminho do processo/Nome da máquina 27-12-19 11:30 C:\TestShareOn2016\__\DriveMgr.exe
Rede 192.168.30.141 27-12-19 11:30 C:\TestShareOn2016\.lnk
Rede 192.168.30.141 Você deve ter uma confirmação positiva de um IP possivelmente infectado e precisa de ações de remediação.
Neste exemplo, identificamos 192.168.30.141 descartando um
.LNK
e umDriveMgr.exe
em um compartilhamento chamadoTestShareOn2016
.
Remediar um worm LNK ativo
Para remover o worm, faça o seguinte:
- Se o dispositivo infectado não tiver o Sophos Endpoint Protection, instale-o.
-
Execute uma varredura completa.
Isso remove a infecção.
-
Se você ainda estiver recebendo arquivos
.lnk
no local, você tem uma nova infecção. Encontre o arquivo.lnk
e envie uma amostra. -
Baixe o Autoruns para Windows e use-o para encontrar o worm.
Consulte Como usar o Microsoft Autoruns para localizar malware não detetado.
-
Verifique os seguintes locais, pois são os lugares mais prováveis onde você encontrará o worm.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
Altere a conta de usuário que você está exibindo. Uma conta de usuário não padrão pode estar carregando o worm. Para exibir outros usuários no Autoruns, faça o seguinte:
-
Clique em File > Run as Administrator.
Aguarde até que as informações no Autoruns sejam recarregadas.
-
Clique em Users e verifique cada conta de usuário em busca do worm.
Esse worm pode se esconder em diferentes contas de usuário. A imagem a seguir mostra um exemplo de informações de uma conta de usuário infectada no Autoruns.
-
-
Quando você encontrar os arquivos, compacte-os para impedir que sejam executados.
-
Envie os arquivos.
A Sophos responderá ao envio da amostra. Se os arquivos forem mal-intencionados, a Sophos atualizará seus arquivos de assinatura.
-
Faça uma varredura completa e verifique se as novas detecções foram eliminadas.
- Se ainda houver indícios de um worm LNK ativo, existem malwares adicionais não detectados em seus dispositivos. Podem ser necessárias várias tentativas para remover o worm, pois uma única variante ou dispositivo desprotegido pode produzir novos arquivos de malware
.lnk
em dispositivos protegidos e limpos. Para resolver esse problema, siga este procedimento: -
- Faça varreduras completas em todos os seus dispositivos.
- Execute o Source of Infection novamente para saber de onde vem a infecção
- Repita essas etapas até que os arquivos de malware
.lnk
não sejam mais replicados em seus dispositivos.
Vídeo de remediação do worm LNK mal-intencionado
Este vídeo aborda este fluxo de trabalho.