Qué Es El Archivo LNK Y Sus Características

Un archivo LNK puede ser algo tan sencillo como un acceso directo a un programa, carpeta u otro archivo. No obstante, es usado por los creadores de Malware para infectar computadores.

Por esta razón, en este artículo te explicaremos en detalle qué son estos archivos y qué puedes hacer para detectar si está contaminado tu sistema operativo con algún software malicioso.

Qué es el archivo LNK

Un archivo LNK, similar a una identidad en el sistema Mac, es una alternativa o “enlace” de Windows que sirve como conexión a una carpeta o programa de documento de imagen original.

En este sentido, contiene el tipo, la posición y el nombre de archivo del destino del acceso directo, así como la aplicación que abre el documento de destino y una tecla de acceso directo adicional.

Asimismo, para crear este tipo de archivo en Windows, escoge un archivo, carpeta o programa ejecutable y selecciona “Crear acceso directo” en la parte inferior del menú desplegable.

Características del archivo LNK

La ubicación del formato de archivo y el directorio “Comienzo” son dos características básicas de los archivos LNK, además de que el formato de archivo está enmascarado.

Por otro lado, los formatos de archivo LNK generalmente tienen el mismo ícono que el archivo original.

Pero con la adición de una pequeña flecha curvada para mostrar que el archivo apunta a una ubicación diferente.

Cuando se hace doble clic en el acceso directo, se comporta como si el usuario lo hubiera hecho en el archivo real.

Por otra parte, estos archivos que contienen accesos directos a aplicaciones pueden tener propiedades que afectan la forma en que se ejecuta el programa.

Para cambiar los atributos, tienes que darle clic con el botón derecho en el archivo de acceso directo y elige “Propiedades”, luego cambia el campo “Destino”.

En lugar de ser extensiones de archivo, estos son extensiones del “Explorador de Windows”.

Extensión del Terminal LNK

Por lo tanto, como extensión de terminal, los documentos “.lnk” solo se pueden usar en ese mismo explorador para sustituir un archivo y tienen otros propósitos además de servir como acceso directo a un documento local.

Si bien los accesos directos se vinculan a archivos y directorios específicos cuando se crean, pueden volverse inoperables si el destino se cambia a una ubicación diferente.

“Explorer” comenzará a reparar una carpeta de acceso directo que apunta a un “objetivo muerto” cuando se abre.

También puedes leer Qué Es Un Archivo KMZ Y Cómo Se Utiliza En Google Earth  

Especificación técnica del archivo LNK

Solo cuando la configuración de visualización de carpetas “Ocultar extensiones para tipos de archivos reconocidos” no está marcada.

Windows no muestra la extensión de documento LNK para accesos directos de documentos.

Sin embargo, puedes habilitar la visualización de la extensión del archivo eliminando la propiedad “NeverShowExt” del elemento de registro de Windows del archivo “HKEY_CLASSES_ROOT\lnk”.

Para hacerlo, sigue estos pasos a continuación.

• PRIMER PASO

Tienes que abrir el “Editor de registro” ingresando “Regedit” en el campo de búsqueda de la barra de tareas y eliges el programa.

• SEGUNDO PASO

Luego en la aplicación tienes que dirigirte a la ubicación “Computer\HKEY HKEY_CLASSES_ROOT\lnkfile”.

• TERCER PASO

Después tienes que hacer una copia de seguridad del elemento haciendo clic con el botón derecho y seleccionas la opción de “Exportar”.

• CUARTO PASO

Posterior a eso selecciona y elimina el atributo de “NeverShowExt”.

• QUINTO PASO

Por último tienes que reiniciar Windows para que los cambios se efectúen.

Cómo llegan los Malwares en los archivos LNK

Los ciberdelincuentes siempre buscan técnicas innovadoras para atacar las defensas de seguridad y cuanto más discreto sea el malware, más difícil será detectarlo y eliminarlo.

En consecuencia, los autores de estas amenazas aprovechan esta táctica para insertar estos programas maliciosos difíciles de detectar en un archivo LNK.

Eso se hace manipulando una aplicación confiable para que se convierta en una amenaza peligrosa.

Es por ello que comenzó una campaña de “phishing” dirigido a profesionales en “LinkedIn” con un troyano de puerta trasera sofisticado llamado “more_eggs” oculto en una oferta de trabajo.

Llegan como ZIP

Para esto, los usuarios de la aplicación en cuestión recibieron archivos “ZIP” maliciosos con el nombre de los cargos de las víctimas en sus perfiles de LinkedIn.

Consecuentemente, cuando las víctimas abrieron las ofertas de trabajo falsas, sin saberlo, iniciaron la instalación oculta de la puerta trasera sin archivos more_eggs.

Una vez instalada en un dispositivo, la puerta trasera sofisticada puede obtener más complementos maliciosos y dar acceso a los piratas informáticos a las computadoras de las víctimas.

Asimismo, una vez que el troyano está en el sistema informático, los autores de este tipo de amenazas pueden penetrar en el sistema e infectarlo con otros tipos de malware como “Ransomware”, robar datos o exfiltrar datos. 

Por su parte, “Golden Eggs”, el grupo de amenazas detrás de este malware, lo vendió como “MaaS (Malware-as-a-Service)” para que sus clientes lo explotaran.

El malware acecha los archivos LNK más débiles

Debido a que un archivo LNK ofrece una alternativa conveniente para abrir un archivo, los actores de amenazas pueden usarlos para crear amenazas basadas en scripts.

Uno de estos métodos es mediante el uso de “PowerShell”, un sólido lenguaje de secuencias de comandos de shell y línea de comandos desarrollados por Microsoft.

Por lo tanto, debido a que PowerShell se ejecuta discretamente en segundo plano, brinda una oportunidad perfecta para que los piratas informáticos inserten código malicioso.

Muchos de estos ciberdelincuentes se han aprovechado de esto ejecutando scripts de PowerShell en archivos LNK.

Este tipo de ataques no es nuevo, pues los exploits de archivos LNK prevalecieron en 2013 y siguen siendo una amenaza activa en la actualidad.

Cómo utilizan los hackers los archivos LNK con fines maliciosos

Los creadores de amenazas pueden crear un script malicioso en el comando PowerShell de la ruta de destino del archivo LNK.

Eso se da en algunos casos, ya que se puede ver el código en “Propiedades de Windows”, pero a veces es difícil detectar el problema.

La URL de la ruta puede parecer inofensiva, sin embargo, hay una cadena de espacios en blanco después del símbolo del sistema (cmd.exe) en los que se ha insertado sigilosamente un código malicioso.

Como consecuencia, debido a que el campo “Objetivo” tiene un límite de caracteres de 260, solo puedes ver el comando completo en la “herramienta de análisis LNK”.

Cómo eliminar el malware en el archivo LNK

En caso de que abras un archivo LNK con contenido malicioso, el malware infectará tu computadora, en la mayoría de los casos sin que te des cuenta de que algo anda mal.

Sin embargo, existe un sistema de seguridad que te permite eliminar amenazas ocultas en este tipo de archivo.

Dicho sistema es “OPSWAT Deep CDR (Content Disarm and Reconstruction)” que protege a los sistemas informáticos de posibles amenazas ocultas dentro de los archivos.

Este tipo de tecnología de prevención de amenazas asume que todos los archivos que ingresan a tu red son maliciosos.

Luego de eso deconstruye, desinfecta y reconstruye cada archivo con todo el contenido sospechoso eliminado.

Además, elimina todos los comandos “cmd.exe” y “powershell.exe” dañinos presentes en los archivos LNK.

En el caso que el archivo LNK infectado esté oculto en un archivo ZIP, este programa procesa múltiples niveles de archivos anidados, detectando los componentes infectados y elimina el contenido dañino.

Como resultado de todo este proceso anterior, el malware se desactiva y ya no se puede ejecutar en los archivos de consumo seguro.

De la misma forma, OPSWAT te permite integrar múltiples tecnologías propietarias para brindar capas adicionales de protección contra el malware.

Un ejemplo de ello es “Multiscanning”, que te permite a los usuarios escanear simultáneamente con más de 30 motores antimalware (utilizando AI/ML, firmas, heurística, entre otros) para lograr tasas de detección cercanas al 100 %.

También puedes leer Qué Es Un Archivo DWL Y Cómo Visualizarlo 

Como se pudo ver un archivo LNK es simplemente un acceso directo a un archivo, carpeta o programa que puedes colocar en el sitio que desees en tu computador.

Y que comúnmente está en el escritorio, para acceder a alguno de ellos de una manera más rápida sin tener que buscar la ruta completa del original.

Sin embargo, tienes que cuidarte de este tipo de archivos, ya que son utilizados por los autores de programas maliciosos para robar datos o dañarlos.

Por consiguiente, si no conoces la fuente de donde provienen, tienes que usar el programa que te se presentaron anteriormente u otro programa que detecte Malware para evitar cualquier inconveniente.