На днях компания Symantec обнаружила нового вирусного червя, запускающего “мусорные” команды на печать. Специалисты определяют червя как W32.Printlove. Вирус работает на уязвимости Microsoft Windows Print Spooler Service Remote Code Execution, которая была обнаружена еще 2 года назад. Червь по-разному себя ведет на компьютерах с обновлением CVE 2010-2729, которое закрывает уязвимость, и на ПК без этого обновления.
На устройстве с обновлениями, но без подключения к локальному принтеру червь запускает поиск сетевых ресурсов печати, а после их обнаружения переходит на другой компьютер. Если второй компьютер уязвим (без CVE 2010-2729), то угроза успешно запускает себя. В случае если на компьютере установлено обновление, W32.Printlove не может использовать уязвимость, и не копируется в системный каталог, а сохраняется в папке буфера печати в виде spl-файла. Впоследствии компьютер начинает печать этого файла на подключенном принтере.
Атаки W32.Printlove могут заражать компьютеры повторно, возможны также массовые “мусорные” распечатки, производимые с различных компьютеров, подключенных к общедоступному принтеру.
Идентифицировать зараженные ПК можно в процессе просмотра .shd-файлов, находящихся в буфере печати.
