Добавить новость
Добавить компанию
Добавить мероприятие
Обнаружен новый вирус, лишающий пользователей бумаги
17.07.2012 13:58
версия для печати
Червь по-разному ведет себя на компьютерах, на которых установлено обновление, закрывающее уязвимость CVE 2010-2729 и на которых оно еще не установлено. Специалисты Symantec протестировали данную угрозу в простой сети, состоящей из двух компьютеров и общего сетевого принтера, подключенного через коммутатор. Конфигурация компьютера A: Windows XP Professional. На компьютере установлено обновление, исправляющее CVE 2010-2729, и он заражен W32.Printlove. На ПК не установлено подключение к локальному принтеру или принтеру с общим доступом. Конфигурация компьютера B: Windows XP Professional. В первом сценарии компьютер работает без обновления, а во втором оно установлено. К нему подключен сетевой принтер, открытый для общего доступа. Компьютер A должен иметь разрешение отправлять задания на печать на компьютер B. Гостевой доступ к общим принтерам в Windows XP включен по умолчанию; для более поздних операционных систем компьютер А должен быть аутентифицирован компьютером В. Вот два сценария, по которым может работать данная угроза: W32.Printlove, работающий на компьютере A будет искать сетевые ресурсы печати. После их обнаружения, он пересылает себя на компьютер В, используя запрос StartDocPrinter. Уязвимость буфера печати позволяет скопировать в любую папку какой угодно файл, переданный запросом на печать. Угроза успешно запускает себя на компьютере В, пользуясь данной уязвимостью. На изображении 1 представлен ход выполнения первого сценария. W32.Printlove, работающий на компьютере А, ведет себя таким образом и передает свой код на компьютер В. Так как на компьютере В установлено обновление, червь не может использовать уязвимость. Принцип исправления уязвимости не позволяет запросам на печать передавать файл в любую папку (то есть осуществлять печать в файл). В связи с этим червь не может скопировать себя в системный каталог и осуществить автозапуск, используя эксплойт. Вместо этого он сохраняется в папке буфера печати компьютера B в виде .spl-файла. После чего компьютер B начинает печать данного файла на подключённом общедоступном принтере. На изображении 2 показан сценарий 2. W32.Printlove сохраняет подключение к удаленному компьютеру и периодически пытается его инфицировать, используя уязвимость буфера печати. Компьютеры могут быть заражены повторно, а также могут происходить множественные «мусорные» распечатки, отправляемые с разных компьютеров, пока червь не будет полностью удален из сети. Отслеживание источника нежелательной печати может оказаться значительно сложнее, если речь идет о нескольких инфекциях, присутствующих в сети. Сетевые администраторы могут идентифицировать заражённые ПК, просматривая .shd-файлы, расположенные в папке буфера печати на компьютере, который обеспечивает подключение к общедоступному принтеру. Файлы SHD создаются операционной системой и содержат детальную информацию о запросе на печать. Для их просмотра можно использовать SPLViewer. Поскольку данные файлы используются службой буфера печати, ее необходимо сначала остановить. Администраторы могут обнаружить скомпрометированный компьютер по полю Computername (Изображение 3), которое позволяет идентифицировать источник отправки задания на печать. Мусорная печать – оборотная сторона медали устранения уязвимости CVE 2010-2729 на компьютерах, атакованных W32.Printlove. Пользователи продуктов Symantec уже защищены от подобных угроз, если они используют последние обновления антивирусных баз. Возможно, существует связь между Trojan.Milicenso и W32.Printlove, но на данный момент это не подтверждено. Команда специалистов Symantec продолжает расследование, чтобы выявить возможную взаимосвязь этих двух угроз. Редактор раздела: Александр Авдеенко (info@mskit.ru) Рубрики: Безопасность
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
|||||
А знаете ли Вы что?
ITSZ.RU: последние новости Петербурга и Северо-Запада13.11.2024 Т2 запустил первый тариф после ребрендингаз> 31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборотаз>
|
||||