Trojan.Milicenso - drukujący malware

Specjaliści z SANS Internet Storm Center (ISC) poinformowali o wykryciu nowego złośliwego programu, przeprowadzającego atak typu "print bomb" na komputery z Windows. Szkodnik po zainfekowaniu systemu przekazuje do podłączonej do komputera drukarki zlecenie wydrukowania kodu pewnego pliku wykonywalnego.

Z analiz przeprowadzonych przez pracowników ISC wynika, że mamy do czynienia z nowym wariantem konia trojańskiego o nazwie Trojan.Milicenso. Doniesienia te potwierdzają specjaliści z firmy Symantec - próbki "szkodnika" trafiły do nich z systemów zabezpieczających zainstalowanych u klientów. Przez niektóre aplikacje antywirusowe program ten jest wykrywany jako Adware.Eorezo (choć według Symanteca Eorezo jest aplikacją typu adware dołączoną do właściwego trojana - jej zadaniem jest odwrócenie uwagi użytkownika od właściwego zagrożenia).

Trojan.Milicenso pojawił się w Sieci w połowie 2010 r. - aplikacja nie była szczególnie uciążliwa, aczkolwiek jej kopie wykryto w wielu firmach. W ciągu ostatnich dwóch tygodni jej aktywność znów się zwiększyła, właśnie za sprawą pojawienia się nowego wariantu trojana. Z danych Symanteca wynika, że jest on najbardziej aktywny w USA oraz Indiach, choć sporo kopii wykryto również w Europie oraz Ameryce Południowej

Nowe zagrożenie dostarczane jest do komputerów na kilka sposobów - np. jako załącznik do wiadomości e-mail, fałszywy kodek wideo czy plik automatycznie próbujący zapisać się w systemie z poziomu złośliwej strony WWW (ta ostatnia metoda może zadziałać jeśli użytkownik korzysta ze starej, dziurawej wersji którejś z popularnych przeglądarek).

Po zainstalowaniu się w systemie, szkodnik umieszcza plik o generowanej losowo nazwie i rozszerzeniu .spl (Windows Printer Spool File - choć tak naprawdę ów plik jest nieprawidłowo nazwanym plikiem wykonywalnym .exe) w domyślnym folderze kolejki wydruku Windows (system32\spool\printers). To sprawia, że podłączona do zainfekowana komputera drukarka traktuje go jako kolejne zlecenie wydruku - efektem jest wydrukowanie dziesiątek stron kodu. Zdaniem specjalistów z Symanteca, jest to raczej błąd programisty niż zamierzone działanie.

W przypadku wykrycia symptomów infekcji, należy sprawdzić system Windows przy pomocy zaktualizowanej aplikacji antywirusowej. Dodajmy, że trojan - oprócz swojej drukarskiej aktywności - umożliwia nieautoryzowanym użytkownikom uzyskanie dostępu do zaatakowanego systemu.

Więcej informacji znaleźć można w blogu firmy Symantec.


TOP 200