Новый червь запускает «мусорные» задания на печать

Компания Symantec заявила об обнаружении нового червя, который запускает «мусорные» задания на печать

    • КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента
    • ГлавнаяНовостиНовости → Новый червь запускает «мусорные» задания на печать
P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}.content img{float:right;}.hidden_block{display:none;}

Symantec определяет данного червя как W32.Printlove. Этот вредоносный код использует уязвимость Microsoft Windows Print SpoolerService Remote Code Execution (CVE 2010-2729), которая была обнаружена ещё в 2010 г.

По данным компании, червь по-разному ведет себя на компьютерах, на которых установлено обновление, закрывающее уязвимость CVE 2010-2729, и на которых оно ещё не установлено. Специалисты Symantec протестировали данную угрозу в простой сети, состоящей из двух компьютеров, работающих под Windows XP Professional, и общего сетевого принтера, подключенного через коммутатор.

Тестирование проходило по двум сценариям. На одном из компьютеров («A») установлено обновление, исправляющее CVE 2010-2729, и он заражен W32.Printlove. Однако при этом на ПК не установлено подключение к локальному принтеру или принтеру с общим доступом. Соответственно, второй компьютер («B») в первом сценарии работает без обновления, а во втором сценарии — с установленным обновлением. Кроме того, к ПК подключён сетевой принтер, открытый для общего доступа.

Компьютер «A» должен иметь разрешение отправлять задания на печать на компьютер «B». Гостевой доступ к общим принтерам в Windows XP включен по умолчанию; для более поздних операционных систем компьютер «А» должен быть аутентифицирован компьютером «В».

В первом случае W32.Printlove, работающий на компьютере «A» будет искать сетевые ресурсы печати. После их обнаружения, он пересылает себя на компьютер «В», используя запрос StartDocPrinter. Уязвимость буфера печати позволяет скопировать в любую папку какой угодно файл, переданный запросом на печать. В итоге угроза успешно запускает себя на компьютере «В», пользуясь данной уязвимостью.


Первый сценарий: удаленный запуск кода

Во втором случаеW32.Printlove, работающий на компьютере «А», передает свой код на компьютер «В». Так как на компьютере «В» установлено обновление, червь не может использовать уязвимость. Принцип исправления уязвимости не позволяет запросам на печать передавать файл в любую папку (то есть осуществлять печать в файл). В связи с этим червь не может скопировать себя в системный каталог и осуществить автозапуск, используя эксплойт. Вместо этого он сохраняется в папке буфера печати компьютера «B» в виде .spl-файла. После чего компьютер «B» начинает печать данного файла на подключённом общедоступном принтере.


Второй сценарий: задания на печать

Как удалось выяснить специалистам Symantec , W32.Printlove сохраняет подключение к удаленному компьютеру и периодически пытается его инфицировать, используя уязвимость буфера печати. Компьютеры могут быть заражены повторно, а также могут происходить множественные «мусорные» распечатки, отправляемые с разных компьютеров, пока червь не будет полностью удален из сети. Отслеживание источника нежелательной печати может оказаться значительно сложнее, если речь идет о нескольких инфекциях, присутствующих в сети. Сетевые администраторы могут идентифицировать заражённые ПК, просматривая .shd-файлы, расположенные в папке буфера печати на компьютере, который обеспечивает подключение к общедоступному принтеру.

Файлы SHD создаются операционной системой и содержат детальную информацию о запросе на печать. Для их просмотра можно использовать SPLViewer. Поскольку данные файлы используются службой буфера печати, ее необходимо сначала остановить. Администраторы могут обнаружить скомпрометированный компьютер по полю Computername, которое позволяет идентифицировать источник отправки задания на печать.

Мусорная печать — оборотная сторона медали устранения уязвимости CVE 2010-2729 на компьютерах, атакованных W32.Printlove. Пользователи продуктов Symantec уже защищены от подобных угроз, если они используют последние обновления антивирусных баз. Как полагают в компании, возможно, существует связь между и W32.Printlove, но на данный момент это не подтверждено.

В России произвели первую партию серверов «Яндекса»

«Яндекс» с партнерами выпустил первую партию серверов, изготовленных в России. Они основаны на базе разработанного в «Яндексе» сервера четвертого поколения. Такие серверы используют в дата-центрах для расширения облачной платформы Yandex.Cloud и в су...

Москва заняла второе место на международном конкурсе Global ICT Excellence Awards

Правительство Москвы заняло второе место среди государственных структур на международном конкурсе Global ICT Excellence Awards в номинации «Стартап-экосистема». Награду получают организации, реализовавшие наиболее успешные проекты поддержки стартапов...

Отряд «ЛизаАлерт» и билайн подводят итоги использования совместных технологий

Поисково-спасательный отряд «ЛизаАлерт» и билайн подвели итоги высокого поискового сезона 2021 года. ...

Роскомнадзор раскрыл компании, подпавшие под закон о «приземлении»

В реестр попали 13 компаний и принадлежащие им ресурсы, в том числе Google, Meta, Twitter и другие. Согласно закону о «приземлении» ИТ-гиганты должны открыть в России филиал или юрлицо и зарегистрироваться на сайте Роскомнадзора Alphabet ...

Как сэкономить время при покупке полиса для квартиры

Компания «АльфаСтрахование» при поддержке билайн запустила возможность автозаполнения клиентских данных с помощью «Мобильного ID» при покупке полиса для квартиры. Это вдвое сократило время оформления страховки. ...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК|Fb|Tw|OK

Рубрики
Каталог
Новости
Контакты
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent{border-radius:5px 10px 0 0;border:1px solid #542437;padding:1px;font-size:75%;font-weight:900;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:10px;}.hidden, label + .cd-accordion-menu, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовости → Новый червь запускает «мусорные» задания на печать