コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/mdr/help/ja-jp/index.html?contextId=LNK

悪意のある LNK ワームの修復ワークフロー

悪意のある LNK ワーム攻撃を修復するには、次の手順を実行します。

はじめに

この文章には、LNKワームの対処方法に関する有用な情報が記載されています。詳細は、LNK マルウェアの調査方法を参照してください。

脅威を特定する

LNK ワームがアクティブであることを確認するには、次の手順を実行します。

  1. 警告をチェックして、ソフォス が .lnk ファイルを検出またはクリーンアップしているかどうかを確認します。

  2. ファイル共有などの予期しない場所に繰り返し .lnk の拡張子が付いたファイルが生成されいないかどうかを確認します。

    これらのファイルは、検出されて駆除された後も繰り返しドロップされます。デバイスのメモリが感染しているため、ファイルがドロップされています。感染源を見つける必要があります。

  3. ユーザーはショートカットが正しく機能しなくなったことを見つける場合があります。

Source of Infection を使用して調査する

感染源を特定するには、次の手順に従います。

  1. Source of Infection ツールをダウンロードして実行します。詳細は、Sophos の Source of Infection ツール (SOI): ダウンロードと使用の手順を参照してください。

    1. Source of Infection ツールを調査が必要なデバイスに移動します。
    2. SourceOfInfection.exeC ドライブのルートに解凍します。
    3. 管理者としてコマンドプロンプトを開きます。
    4. SourceOfInfection.exe を見つけて実行します。
    5. Enter キーを押してコマンドを実行します。
    6. Source of Infection を稼働させたままにします。これを行うには、コマンドプロンプトウィンドウを開いたままにしておく必要があります。
    7. デバイスで新しい LNK 検出 が発生したら、コマンドプロンプトウィンドウを閉じて Source of Infection を停止します。

  2. ログファイルを確認して、感染の原因を確認します。ログファイルは、%temp%\Source of Infection Log.csv で参照できます。

    ログファイルの例は以下です。

    日時 ファイルパス プロセス/ネットワーク プロセスパス/マシン名
    27-12-19 11:30 C:\TestShareOn2016\__\DriveMgr.exe ネットワーク 192.168.30.141
    27-12-19 11:30 C:\TestShareOn2016\.lnk ネットワーク 192.168.30.141

    感染している可能性があり、修復アクションが必要な IP が確認できます。

    この例では、192.168.30.141が .LNKDriveMgr.exeTestShareOn2016 という名前の共有にドロップしていることが確認できます。

アクティブな LNK ワームを修復する

ワームを削除するには、次の手順を実行します。

  1. 感染したデバイスに Sophos Endpoint Protection がない場合は、インストールします。

  2. フル検索を実行します。

    これにより、感染が除去されます。

  3. それでも .lnk ファイルがドロップされる場合は、新たな感染が発生しています。.lnk ファイルを検索し、サンプルを送信します。

  4. Autoruns for Windows をダウンロード して、ワームを見つけます。

    詳細は、Microsoft Autoruns を使用して検出されないマルウェアを検出する方法を参照してください。

  5. ワームが見つかる可能性が最も高い場所として、次の場所を確認してください。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  6. 表示しているユーザーアカウントを変更します。標準以外のユーザーアカウントがワームを読み込んでいる可能性があります。 Autoruns で他のユーザーを表示するには、次の手順を実行します。

    1. ファイル > 管理者として実行」の順にクリックします。

      Autoruns の情報が再読み込みされるまで待ちます。

    2. ユーザー」をクリック し、ワームに関して各ユーザアカウントを確認します。

    このワームは、別のユーザーアカウントでは非表示になることがあります。以下は、自動応答で感染したユーザーアカウント情報の例を示しています。

    このスクリーンショットは、LNK ワームに感染したユーザーアカウントを示しています。

  7. ファイルが見つかったら、ファイルを圧縮して、ファイルが実行されないようにします。

  8. ファイルを送信します。

    ソフォスがサンプルの送信に対して応答します。ファイルが悪意のあるものである場合、ソフォスはシグネチャファイルを更新します。

  9. フル検索を実行して、新しい検出がクリーンアップされていることを確認します。

  10. それでも LNK ワームがアクティブである兆候がある場合は、未検出の別のマルウェアがデバイス上に存続することになります。1つの亜種または保護されていないデバイスが、保護されたクリーンなデバイス上に新しい .lnk マルウェアファイルを生成する可能性があるため、このワームの削除には数回の除去操作が必要になる場合があります。これを実行するにあh、次の手順を実行します。

    1. すべてのデバイスにフル検索を実行します。
    2. Source of Infection を再実行して、感染源を確認します。
    3. .lnk マルウェアファイルがデバイスに複製されなくなるまで、これらの手順を繰り返します。

悪意のある LNK ワームの修復動画

この動画では、このワークフローについて説明します。