打印机狂印300张还弹出广告，原来是中毒了

作者：趋势科技威胁分析师Benjamin Rivera

趋势科技在本月初收到很多关于一定数量的打印工作被发送到打印机和打印服务器的案例。这会延迟原本正常的打印工作，因为每个打印机会打印大约 300页无意义的内容，那么到底是什么程序在打印？

打印的实际内容如下图，其实就是几行代码，趋势科技认为这是恶意软件想在目标机器上安装的程序代码。对于有这类打印行为的电脑，我们检测出了TROJ_AGENT.BCPC或TROJ_PONMOCOP 变种病毒。

 

HKLM\Software\{随机}

HKCU\Software\{随机}

64位系统：

• HKLM\Software\Wow6432Node\{随机}
• HKCU\Software\Wow6432Node\{随机}

这些注册表项目包含了加密信息，会被解密成三个二进制文件。第一个文件可以监测并禁用“wscsvc”、“WinDefend”和“MsMpSvc”服务，同时还会删除以下和安全软件有关的注册表内容：

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run    “Windows Defender”
• HKLM\Software\Microsoft\Windows\CurrentVersion\Run    “msse”

第二个文件会将关于“Http Status”、“Time slots”和“Statistics”的信息传输到远程服务器上。具体的数据内容以及传输到的目的地还在研究中。这个文件还会检查下列注册表项目：

• HKLM\software\Microsoft\Windows\CurrentVersion\Internet     Settings
• HKCU\software\Microsoft\Windows\CurrentVersion\Internet     Settings
• HKLM\software\Microsoft\Multimedia
• HKCU\software\Microsoft\Multimedia
• HKLM\System\CurrentControlSet

一旦发现这些项目，第二个文件会对这些注册表键值中所包含的数据进行解码，解码的结果所包含的信息包含用于试图劫持或访问的网址。

此外，第二个文件还会建立下列新的注册表项，其中包含了额外的加密数据：

• HKCU\Software\Microsoft\Internet     Explorer\LowRegistry\Stats\{随机}
• HKCU\Software\Microsoft\Internet     Explorer\LowRegistry\Stats\{随机}\{随机}

最后一个文件的行为还在调查中。

来自趋势科技的防护

趋势科技通过两种方式保护用户。所有上述文件都已被检测为恶已文件。另外，我们也封锁了所有相关网址，以防止新变种被下载到用户电脑上。相对于传统作法只单独针对恶意文件或网站所进行的隔离，这样的组合方式可以为用户提供更好的防护。

趋势科技还在持续调查这次攻击，并会继续更新这篇文章，让这“打印机病毒”的全貌变得更加清晰。

Lenart Bermejo、BrianCayanan和Allan Sepillo协助分析

＠原文出处：MalwareWastes Paper, Triggers Printing and Ads