https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

印表機印不停 小心病毒在作祟!

2012 / 07 / 06
編輯部
印表機印不停 小心病毒在作祟!

最近有款搞怪的惡意病毒在各地迅速擴散,該惡意程式會讓印表機不斷列印,直到紙張用完為止,受害公司陸續向防毒軟體廠商回報此問題,希望能盡快提供解決方案,根據最新報告指出,此波攻擊來自一款名為W32.Printlove的新病毒,該惡意程式已透過Windows漏洞在全球各地進行擴散。

賽門鐵克6/21時發布一份威脅報告,指出這種惡意的列印情形是由木馬程式Trojan.Milicenso所造成的,該惡意程式在2010年時就曾發動過一波攻擊。然而,時隔一周後,賽門鐵克的研究人員Jeet Morparia發現了此波攻擊應該是來自一款名為W32.Printlove的新病毒,該病毒造成的災害和Trojan.Milicenso類似,因此Symantec也在7/2時更新了W32.Printlove的訊息。

W32.Printlove主要是透過微軟Windows Print Spooler服務中的漏洞進行攻擊,該漏洞在20109月就被偵測到,定義為CVE-2010-2729,知名的木馬程式Stuxnet就曾利用過此漏洞展開攻擊,當W32.Printlove試圖感染一台連至共享網路印表機的Windows XP電腦卻失敗時,惡意的列印行為就自開始。

舉例來說,當一台電腦已經感染W32.Printlove時,病毒會透過區域網路中的網路印表機搜尋列印來源,找到網路中其他電腦的資訊,只要任何一台遠端電腦的CVE-2010-2729漏洞未被修補,該電腦就會被感染。

反之,若該遠端電腦的漏洞已經修補了,雖然不會感染病毒,但W32.Printlove卻會複製在該電腦的列印清單目錄(printer spool directory),然後產生一個.spl檔案,於是,該電腦會將此檔案視為新的列印工作需求,然後傳送至網路印表機,開始列印出一堆無意義、充滿符號與亂碼的內容。

由於該病毒會定期地試圖感染其他電腦,因此這種惡意的列印行為就會不斷發生,必須等到該區域網路中所有電腦的病毒都被清除後,這種情況才會結束。Morparia表示,如果該網路中已經有很多台電腦遭受感染,要追蹤造成這種惡意列印的來源就會變得非常複雜。

不過,要解決W32.Printlove帶來的問題也不困難。Morparia表示,當病毒意圖感染卻失敗時,會在列印的暫存工作清單中留下.shd檔案,包含列印工作、發出列印需求的電腦等資訊。因此,管理者可以先停止Print Spooler服務,然後使用SPLViewer工具掃描SHD檔案,這樣就可以得知究竟是哪些電腦遭受了感染。

這種惡意的列印行為,目前在美國、印度、歐洲,以及南美等地區陸續發生,受害企業不斷增加,還沒出現問題的企業,最好立即檢查是否已修補了CVE-2010-2729漏洞,以免成為下一個受害者。