悪意のある LNK ワームの修復ワークフロー
悪意のある LNK ワーム攻撃を修復するには、次の手順を実行します。
はじめに
この文章には、LNKワームの対処方法に関する有用な情報が記載されています。詳細は、LNK マルウェアの調査方法を参照してください。
脅威を特定する
LNK ワームがアクティブであることを確認するには、次の手順を実行します。
- 警告をチェックして、ソフォス が
.lnk
ファイルを検出またはクリーンアップしているかどうかを確認します。 -
ファイル共有などの予期しない場所に繰り返し
.lnk
の拡張子が付いたファイルが生成されいないかどうかを確認します。これらのファイルは、検出されて駆除された後も繰り返しドロップされます。デバイスのメモリが感染しているため、ファイルがドロップされています。感染源を見つける必要があります。
-
ユーザーはショートカットが正しく機能しなくなったことを見つける場合があります。
Source of Infection を使用して調査する
感染源を特定するには、次の手順に従います。
-
Source of Infection ツールをダウンロードして実行します。詳細は、Sophos の Source of Infection ツール (SOI): ダウンロードと使用の手順を参照してください。
- Source of Infection ツールを調査が必要なデバイスに移動します。
SourceOfInfection.exe
をC
ドライブのルートに解凍します。- 管理者としてコマンドプロンプトを開きます。
SourceOfInfection.exe
を見つけて実行します。- Enter キーを押してコマンドを実行します。
- Source of Infection を稼働させたままにします。これを行うには、コマンドプロンプトウィンドウを開いたままにしておく必要があります。
- デバイスで新しい LNK 検出 が発生したら、コマンドプロンプトウィンドウを閉じて Source of Infection を停止します。
-
ログファイルを確認して、感染の原因を確認します。ログファイルは、
%temp%\Source of Infection Log.csv
で参照できます。ログファイルの例は以下です。
日時 ファイルパス プロセス/ネットワーク プロセスパス/マシン名 27-12-19 11:30 C:\TestShareOn2016\__\DriveMgr.exe
ネットワーク 192.168.30.141 27-12-19 11:30 C:\TestShareOn2016\.lnk
ネットワーク 192.168.30.141 感染している可能性があり、修復アクションが必要な IP が確認できます。
この例では、192.168.30.141が
.LNK
とDriveMgr.exe
をTestShareOn2016
という名前の共有にドロップしていることが確認できます。
アクティブな LNK ワームを修復する
ワームを削除するには、次の手順を実行します。
- 感染したデバイスに Sophos Endpoint Protection がない場合は、インストールします。
-
フル検索を実行します。
これにより、感染が除去されます。
-
それでも
.lnk
ファイルがドロップされる場合は、新たな感染が発生しています。.lnk
ファイルを検索し、サンプルを送信します。 -
Autoruns for Windows をダウンロード して、ワームを見つけます。
詳細は、Microsoft Autoruns を使用して検出されないマルウェアを検出する方法を参照してください。
-
ワームが見つかる可能性が最も高い場所として、次の場所を確認してください。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
表示しているユーザーアカウントを変更します。標準以外のユーザーアカウントがワームを読み込んでいる可能性があります。 Autoruns で他のユーザーを表示するには、次の手順を実行します。
-
「ファイル > 管理者として実行」の順にクリックします。
Autoruns の情報が再読み込みされるまで待ちます。
-
「ユーザー」をクリック し、ワームに関して各ユーザアカウントを確認します。
このワームは、別のユーザーアカウントでは非表示になることがあります。以下は、自動応答で感染したユーザーアカウント情報の例を示しています。
-
-
ファイルが見つかったら、ファイルを圧縮して、ファイルが実行されないようにします。
-
ファイルを送信します。
ソフォスがサンプルの送信に対して応答します。ファイルが悪意のあるものである場合、ソフォスはシグネチャファイルを更新します。
-
フル検索を実行して、新しい検出がクリーンアップされていることを確認します。
-
それでも LNK ワームがアクティブである兆候がある場合は、未検出の別のマルウェアがデバイス上に存続することになります。1つの亜種または保護されていないデバイスが、保護されたクリーンなデバイス上に新しい
.lnk
マルウェアファイルを生成する可能性があるため、このワームの削除には数回の除去操作が必要になる場合があります。これを実行するにあh、次の手順を実行します。 -
- すべてのデバイスにフル検索を実行します。
- Source of Infection を再実行して、感染源を確認します。
.lnk
マルウェアファイルがデバイスに複製されなくなるまで、これらの手順を繰り返します。
悪意のある LNK ワームの修復動画
この動画では、このワークフローについて説明します。