Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Hi-Tech > Symantec обнаружила новый вирус W32.Printlove, который лишает пользователей бумаги

Symantec обнаружила новый вирус W32.Printlove, который лишает пользователей бумаги

Вторник, 17 июля 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Компания Symantec заявила об обнаружении нового червя, который запускает "мусорные" задания на печать. Данный вид червя был определён как W32.Printlove. Вредоносный код использует уязвимость Microsoft Windows Print Spooler Service Remote CodeExecution (CVE 2010-2729), которая была обнаружена ещё в 2010 году.



Стоит отметить, что червь по-разному ведет себя на компьютерах, на которых установлено обновление, закрывающее уязвимость CVE 2010-2729 и на которых оно ещё не установлено. Специалисты Symantec протестировали данную угрозу в простой сети, состоящей из двух компьютеров и общего сетевого принтера, подключённого через коммутатор.

Конфигурация компьютера A: ОС Windows XP Professional. На компьютере установлено обновление, исправляющее CVE 2010-2729, и он заражен W32.Printlove. На ПК не установлено подключение к локальному принтеру или принтеру с общим доступом.

Конфигурация компьютера B: ОС Windows XP Professional. В первом сценарии компьютер работает без обновления, а во втором оно установлено. К нему подключён сетевой принтер, открытый для общего доступа.

Компьютер A должен иметь разрешение отправлять задания на печать на компьютер B. Гостевой доступ к общим принтерам в Windows XP включен по умолчанию; для более поздних операционных систем компьютер А должен быть аутентифицирован компьютером В.

Вот два сценария, по которым может работать данная угроза:
1. W32.Printlove, работающий на компьютере A, будет искать сетевые ресурсы печати. После их обнаружения он пересылает себя на компьютер В, используя запрос StartDocPrinter. Уязвимость буфера печати позволяет скопировать в любую папку какой угодно файл, переданный запросом на печать. Угроза успешно запускает себя на компьютере В, пользуясь данной уязвимостью. На изображении 1 представлен ход выполнения первого сценария.

Изображение 1. Первый сценарий, удаленный запуск кода
2. W32.Printlove, работающий на компьютере А, ведёт себя таким образом и передает свой код на компьютер В. Так как на компьютере В установлено обновление, червь не может использовать уязвимость. Принцип исправления уязвимости не позволяет запросам на печать передавать файл в любую папку (то есть осуществлять печать в файл). В связи с этим червь не может скопировать себя в системный каталог и осуществить автозапуск, используя эксплойт. Вместо этого он сохраняется в папке буфера печати компьютера B в виде .spl-файла, после чего компьютер B начинает печать данного файла на подключённом общедоступном принтере. На изображении 2 показан сценарий 2.

Изображение 2. Второй сценарий, задания на печать
W32.Printlove сохраняет подключение к удаленному компьютеру и периодически пытается его инфицировать, используя уязвимость буфера печати. Компьютеры могут быть заражены повторно, а также могут происходить множественные «мусорные» распечатки, отправляемые с разных компьютеров, пока червь не будет полностью удален из сети. Отслеживание источника нежелательной печати может оказаться значительно сложнее, если речь идет о нескольких инфекциях, присутствующих в сети. Сетевые администраторы могут идентифицировать заражённые ПК, просматривая .shd-файлы, расположенные в папке буфера печати на компьютере, который обеспечивает подключение к общедоступному принтеру.

Файлы SHD создаются операционной системой и содержат детальную информацию о запросе на печать. Для их просмотра можно использовать SPLViewer. Поскольку данные файлы используются службой буфера печати, её необходимо сначала остановить. Администраторы могут обнаружить скомпрометированный компьютер по полю Computername (Изображение 3), которое позволяет идентифицировать источник отправки задания на печать.

Изображение 3. SPLViewer показывает, откуда взялось задание печати
"Мусорная печать" - оборотная сторона медали устранения уязвимости CVE 2010-2729 на компьютерах, атакованных W32.Printlove. Пользователи продуктов Symantec уже защищены от подобных угроз, если они используют последние обновления антивирусных баз.

Возможно, существует связь между Trojan.Milicenso и W32.Printlove, но на данный момент это не подтверждено. Команда специалистов Symantec продолжает расследование, чтобы выявить возможную взаимосвязь этих двух угроз.

Ниже представлена фотография мусорной распечатки. Принтер честно пытается распечатать бинарный код приложения (.exe), которое было ему передано в качестве задания на печать.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 647
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 20
Производитель называет Alphacool Eisbaer 420 самой большой готовой системой жидкостного охлаждения |
18: 20
AMD выпустила драйвера для ускорения майнинга (и на этом закрыла тему) |
18: 20
Идеальный смартфон для лета: Samsung рассказала об «отпускных» фишках Galaxy S8 |
18: 20
Под веществами: как экстази влияет на мозг |
18: 00
На Synthposium покажут премьеру документальных фильмов про синтезаторы |
18: 00
Fakelist — сервис для борьбы с контрафактом в рунете |
18: 00
Профессиональный подбор недвижимости для посуточной аренды |
18: 00
Купить Айфон 7 в интернете по отличной цене |
18: 00
Четыре смартфона ASUS Zenfone 4 показались на пресс-рендерах |
13: 20
Qt 4 не войдёт в состав Debian 10 |
13: 20
Apple может создать свой сериал, который сможет составить конкуренцию Game of Thrones |
13: 00
Solus 3 |
13: 00
Опубликовано изображение смартфона Samsung Galaxy Note 8 в цвете Deep Sea Blue |
12: 40
Xiaomi представит свою технологию трехмерного распознавания лиц в четвертом квартале 2017 |
12: 40
Персеиды-2017: как успеть посмотреть на звездопад |
12: 40
Apple тестирует собственный OLED телевизор (секретные фото) |
12: 40
Как встают на якорь гигантские суда: видео-экскурсия |
12: 40
Акционер Gett оценил российский бизнес сервиса в $700 млн |
12: 00
Линейка смартфонов Asus Zenfone 4 показана во всех цветах на официальных изображениях |
11: 40
Вопрос читателям: Куда инвестировать миллион рублей |
11: 40
Велосипед Xiaomi Mi Qicycle Mountain Bike стоит 300 долларов |
11: 00
Основной камере Samsung Galaxy Note 8 приписывают датчики изображения разрешением 12 и 13 Мп |
11: 00
Гарнитура Lenovo с поддержкой Google Daydream будет называться Mirage |
11: 00
Компания Electronic Arts распродает игры в рамках акции «Хиты за Полцены» |
11: 00
В Индии арестовали подозреваемых в сливе одной из серий 7 сезона «Игры Престолов» |
11: 00
Agents of Mayhem получает оценки |
11: 00
Нашёл 4 способа защитить свой iPhone (+1 спортивный) |
10: 40
По мотивам онлайн игры The Secret World снимут телесериал |
10: 20
Видеокарты Radeon RX Vega 64 могут существенно подорожать уже в ближайшее время |
10: 20
POLED vs AMOLED – в чем разница? |
10: 20
«Альфа банк» назвал доклад о проблемах в четырёх банках из топ-15 частным мнением менеджера |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Апрель 2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30