Обнаружен новый вирус, лишающий пользователей бумаги // 23 Ноября 2012

Эпопея с вирусами, растрачивающими бумагу и чернила принтера, продолжается. Компания Symantec заявила об обнаружении нового червя, который запускает «мусорные» задания на печать.

Этот вредоносный код использует уязвимость Microsoft Windows Print Spooler Service Remote Code Execution (CVE 2010-2729), которая была обнаружена ещё в 2010 году. Червь по-разному ведет себя на компьютерах, на которых установлено обновление, закрывающее уязвимость CVE 2010-2729 и на которых оно ещё не установлено.

В первом случае W32.Printlove может пересылать себя по локальной сети на другой компьютер, используя уязвимость буфера печати, которая позволяет скопировать в любую папку какой угодно файл, переданный запросом на печать.

Если же обновление установлено, то при пересылке вирус сохраняется в папке буфера печати компьютера в виде .spl-файла, после чего компьютер начинает печать данного файла на подключённом общедоступном принтере.

W32.Printlove сохраняет подключение к удаленному компьютеру и периодически пытается его инфицировать, используя уязвимость буфера печати. Компьютеры могут быть заражены повторно, а также могут происходить множественные «мусорные» распечатки, отправляемые с разных компьютеров, пока червь не будет полностью удален из сети. Отслеживание источника нежелательной печати может оказаться значительно сложнее, если речь идет о нескольких инфекциях, присутствующих в сети. Сетевые администраторы могут идентифицировать заражённые ПК, просматривая .shd-файлы, расположенные в папке буфера печати на компьютере, который обеспечивает подключение к общедоступному принтеру.

Файлы SHD создаются операционной системой и содержат детальную информацию о запросе на печать. Для их просмотра можно использовать SPLViewer. Поскольку данные файлы используются службой буфера печати, ее необходимо сначала остановить. Администраторы могут обнаружить скомпрометированный компьютер по полю Computername, которое позволяет идентифицировать источник отправки задания на печать.

Мусорная печать – оборотная сторона медали устранения уязвимости CVE 2010-2729 на компьютерах, атакованных W32.Printlove. Возможно, существует связь между Trojan.Milicenso и W32.Printlove, но на данный момент это не подтверждено.

По материалам официального пресс-релиза.