Trojan.Milicenso - drukujący malware
- Antoni Steliński,
- 26.06.2012, godz. 10:36
Specjaliści z SANS Internet Storm Center (ISC) poinformowali o wykryciu nowego złośliwego programu, przeprowadzającego atak typu "print bomb" na komputery z Windows. Szkodnik po zainfekowaniu systemu przekazuje do podłączonej do komputera drukarki zlecenie wydrukowania kodu pewnego pliku wykonywalnego.
Polecamy:
Trojan.Milicenso pojawił się w Sieci w połowie 2010 r. - aplikacja nie była szczególnie uciążliwa, aczkolwiek jej kopie wykryto w wielu firmach. W ciągu ostatnich dwóch tygodni jej aktywność znów się zwiększyła, właśnie za sprawą pojawienia się nowego wariantu trojana. Z danych Symanteca wynika, że jest on najbardziej aktywny w USA oraz Indiach, choć sporo kopii wykryto również w Europie oraz Ameryce Południowej
Zobacz również:
Nowe zagrożenie dostarczane jest do komputerów na kilka sposobów - np. jako załącznik do wiadomości e-mail, fałszywy kodek wideo czy plik automatycznie próbujący zapisać się w systemie z poziomu złośliwej strony WWW (ta ostatnia metoda może zadziałać jeśli użytkownik korzysta ze starej, dziurawej wersji którejś z popularnych przeglądarek).
Po zainstalowaniu się w systemie, szkodnik umieszcza plik o generowanej losowo nazwie i rozszerzeniu .spl (Windows Printer Spool File - choć tak naprawdę ów plik jest nieprawidłowo nazwanym plikiem wykonywalnym .exe) w domyślnym folderze kolejki wydruku Windows (system32\spool\printers). To sprawia, że podłączona do zainfekowana komputera drukarka traktuje go jako kolejne zlecenie wydruku - efektem jest wydrukowanie dziesiątek stron kodu. Zdaniem specjalistów z Symanteca, jest to raczej błąd programisty niż zamierzone działanie.
W przypadku wykrycia symptomów infekcji, należy sprawdzić system Windows przy pomocy zaktualizowanej aplikacji antywirusowej. Dodajmy, że trojan - oprócz swojej drukarskiej aktywności - umożliwia nieautoryzowanym użytkownikom uzyskanie dostępu do zaatakowanego systemu.
Więcej informacji znaleźć można w blogu firmy Symantec.