11:18
28/6/2012

Coś dziwnego dzieje się z niektórymi drukarkami — urządzenia same z siebie drukują coś, co wygląda na fragment jakiegoś programu; nie przestają aż do momentu wyczerpania się papieru.

Winowajcą jest adware o nazwie Aware.Eorezo. Ale historia ma drugie dno, zdecydowanie ciekawsze dno — Symantec oświadczył, że za całe zamieszanie odpowiada ktoś jeszcze.

Prawdziwy winowajca

Trojan Milicenso został odkryty w 2010 i wykorzystuje lukę w usłudze wydruku systemów Windows (Print Spooler, CVE-2010-2729). Przenosi się on zarówno przez załączniki w mailach, odwiedzenie zainfekowanych stron (drive-by download) czy udawania kodeków wideo.

Printer

Podczas instalacji sprawdza czy działa w środowisku typu sandbox, używanym przez producentów oprogramowania antywirusowego do wykrycia m.in. nowych wirusów. Jeśli tak właśnie jest, to trojan nie próbuje się ukrywać poprzez zatrzymanie wszystkich swoich aktywności, ale stara się udawać inne, mało groźne złośliwe oprogramowanie. Aware.Eorezo (pobierany przez Milicenso, a skłaniający drukarki do pracy) jest najprawdopodobniej takim właśnie wabikiem, który ma odwrócić uwagę od prawdziwego zagrożenia.

Dlaczego drukarki drukują “śmieci”? Czyli nieprzewidziany efekt uboczny trojana.

Cała sprawa wyszła na jaw, ponieważ ludzie zauważyli dziwną pracę drukarek. Wszystko wskazuje na to, że podczas infekcji malware umieszcza plik o rozszerzeniu .spl w ścieżce [DRIVE_LETTER]\system32\Spool\PRINTERS\ czyli domyślnym folderze usługi Print Spooler.

Plik, mimo rozszerzenia, jest tak naprawdę plikiem wykonywalnym Aware.Eorezo. W zależności od konfiguracji, umieszczenie jakiekolwiek pliku ww. folderze może zostać potraktowane jako zadanie dla drukarki, co skutkuje nieplanowanym wydrukiem tekstu z pliku .spl, czyli “śmieci”

Przy okazji tematu drukarek, przypominamy, że można na ich dyskach znaleźć ciekawe rzeczy i że da zdalnie podsłuchać co drukują poprzez analizę dźwięków. Oraz że niektóre drukarki HP podatne są na atak, który może je “podpalić” :)

Podsumowując, ciekawy mechanizm mający ukryć malware już istniejący od dawna… ukrył go w takim miejscu, że ułatwił jego znalezienie — w końcu drukarka, która zaczyna sama z siebie zapisywać kartki “śmieciowymi” danymi raczej nie jest czymś, co ignorujemy ;) Symantec dowcipnie określił cała sprawę jako:
Spełnienie marzeń sprzedawcy papieru :)


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

35 komentarzy

Dodaj komentarz
  1. Drukuje kod z widocznymi komendami czy jakies robaczki?

    • kod binarny czy krzaczki i inne elementy z ASCII.
      Na 1MB kodu binarnego drukarka wypluje ~220 stron A4.

  2. “i to jego kod jest drukują drukarki” -??
    Czyli co drukują? Plik binarny?

  3. Mogło by dostać się na firmową komórkę i wysyłać sms, a tu tylko wydruki.

  4. ” (i to jego kod jest drukują drukarki). ” – a nie powinno być “i to jego kod jest drukowany” ? :) pozdrawiam

    • jeśli jest to czynność ciągła a nie jednorazowy i niemożliwy do uchwycenia moment, to nie widzę tutaj błędu, drukarki mają możliwość drukowania a nie tylko czynienia rzeczy wydrukowanymi

      btw. podobnie na monitorze może ‘pisać’ a nie ‘być napisane’, biorąc pod uwagę częstość odświeżania i sposób prezentacji danych zobrazowania :)

    • @xki fail
      @sprawiedliwosc: ‘drukuja’ to chyba taki owoc ;]

    • @xki nie filozofuj @shaql nie ma takiego owocu jak “drukuja”, poza tym tam było ą na końcu :]

    • mianownik: kto? co? – drukuja
      narzędnik: kim? czym? – drukują
      ;D

  5. Yaaawn…. “(i to jego kod jest drukują drukarki)”

  6. Dla sprostoswania – oczywiście, drukują reprezentację ASCII binarki :)

  7. “(i to jego kod jest drukują drukarki)”

  8. Niebezpieczniku, Twoi czytelnicy to w 99% poloniści jak sam widzisz, tylko 2 komentarze nie dotyczą błędu, który popełniliście :D

  9. specjaliści, jednak matura sie przydała :P

  10. Zawsze wiedziałem ze umysły scisle maja cos z humanistow, a humanisci nie maja nic z nikogo! :)

    • Gdyby nie humaniści, nie byłbyś w stanie się z nikim porozumieć. Dodatkowo humaniści z reguły ignorują błędy gramatyczne popełnione przez osoby trzecie, natomiast uwagę na nie zwracają trolle, nie “umysły ścisłe”.
      Na zakończenie – pracuję w branży IT; programuję; uprawiam sporty ekstremalne; mam dobre wyniki w trzech sztukach walki; interesuję się psychologią i socjologią; często pomagam potrzebującym w ramach wolontariatu; potrafię rozebrać dużą część samochodów, naprawić usterki zarówno elektroniczne jak i mechaniczne i jeszcze ten samochód złożyć do kupy; dużo lutuję, takie domowe DIY; gotuję całkiem-całkiem; lubię obejrzeć dobry film, przeczytać dobrą książkę, posłuchać dobrej muzyki (którą uczę się też aktualnie tworzyć). Dużo innych mniej lub bardziej ważnych rzeczy też potrafię zrobić…i jestem z wykształcenia humanistą. Your argument is invalid.

      Nie, nie chwalę się, to nie są powody do chwały. Mam za to niską tolerancję na ludzi podążających za tłumem/modą, stąd ten post.

    • @Mistiqe gdzieś słyszałem, że wytykanie błędów gramatycznych/ortograficznych świadczy o niskiej inteligencji wytykającego.

      Ale co mogę powiedzieć jak sam czasami tak potrafię napisać, że wygląda jak bym prosto z translatora wklejał ;-)

    • @Troyaax tylko żartuje zapewne, nie musisz wyskakiwać od razu z mową obronną jak przed ławą przysięgłych, @Mistiqe ;)

      A co do Trojana, może oni tak specjalnie: “nawet jakby wam drukarka zaczęła sama z siebie drukować kod binary naszego wirusa to nie dalibyście mu rady”, joł?

    • @Mistiq – To, że masz wykształcenie humanistyczne nie czyni z Ciebie humanisty ;) A nawet jeśli, to jesteś wyjątkiem potwierdzającym regułę, tego i tak sztucznego podziału.

    • Istota ludzka powinna umieć zmieniać pieluszki, zaplanować inwazję, zarżnąć wieprza, sterować statkiem, zaprojektować budynek, napisać sonet, prowadzić księgę rachunkową, zbudować mur, nastawić złamanie, pocieszyć umierającego, dawać rozkazy, przyjmować rozkazy, działać w grupie, działać samemu, rozwiązywać równania, analizować nowe problemy, roztrząsać nawóz, zaprogramować komputer, ugotować smaczny posiłek, walczyć skutecznie, umrzeć bohatersko. Specjalizacja jest dla insektów…
      – Robert A. Heinlein

    • “Co na przykład możemy powiedzieć o plakacie reklamującym nowe mydło, jeżeli przedstawia inne mydła jako dobre?” -Adolf Hitler

    • @Bartek
      Pocieszyć umierającego

      “nie przejmuj się, zaraz umrzesz”
      “umrzesz, ale wyprawimy ci super stypę”
      “Spójrz na to z dobrej strony, wprawdzie zostałeś pokonany w pojedynku, ale nie będziesz musiał znosić szyderczych uśmiechów”
      “Przynajmniej nie będziesz już ciężarem dla rodziny”
      “Przynajmniej nie zobaczysz jak sowieci gwałcą twoją żonę i córkę”

      no chyba, że u arabów
      “Wysadzę cię pod stadionem, a później 72 dziewice się tobą zajmą”

    • @Mistique: a tak, dzięki humanistom, mamy zalew bełkotu.

  11. Trojan staaaary jak świat. Chyba z 10 lat temu w biurach szalał szkodnik, który miał funkcję kopiowania się na znalezione udziały sieciowe. W założeniu zapewne miał się powielać na udostępnionych katalogach, ale jako że ludzie udostępniali i drukarki, to próbował się również ‘skopiować” na udziały drukarkowe. Szkodliwość trojana zależała od ilości papieru w pojemniku :-)

  12. ~~Mistiqe: A rodziłeś już? Skąd tacy “ludzie” się biorą. Postrzeganie innych -low ,postrzeganie własnej osoby -high. Dno i metr mułu…

    • Z badań wynika, że 90% społeczeństwa uważa, że jest w 10% naj. Ale idący z tego wniosek jest taki, że 10% na racje.

      Jeżeli ktoś twierdzi nieprawdę na mój temat, to również czasem staram się podjąć wysiłek i mu przetłumaczyć (jak np tobie teraz), a czasem odpuszczam. Po drugie, czy Mistique napisał coś w swoim poście o innych? Nie. Więc naucz się czytać ze zrozumieniem, a dopiero potem zabierz się za komentowanie.

  13. Tylko jak wytłumaczyć że trojan był na jednym komputerze a wydruki szły z wszystkich drukarek w firmie? Zarówno podpiętych pod printserver jak i z drukarek podłączonych bezpośrednio do komputera?

    • Plik zostaje umieszczony w kolejce drukowania. Czyli wszystko, co pod tą kolejkę jest podpięte, będzie plik drukować. Jeśli domyślna kolejka obejmuje wszystkie drukarki, efekt jest chyba jasny :)

  14. Hi. I am a low-tech virus. Please print me, pass on to your friends, and tell them to type me in by hand and compile. There will be cake :)

    • Trochę jak na jakichś stronach o linuxie “#rm -rf” :D

    • Skompilować kod binarny?

    • Tu akurat trochę abstrahowałem od artykułu. Chodziło mi o kod źródłowy, którego autor nie skompilował, bo zabrakło mu węgla do dorzucenia do kompa, kiedy szło linkowanie (czy coś takiego) :P Swoją drogą, program, który kompiluje się do samego siebie, byłby niezły :D

  15. @nico: dobrze, że są ludzie jak mistiqe! Cytując za Brechtem: “Zamiast być tylko rozumnymi, starajcie się Stworzyć warunki, w których głupota jednostek Przestanie być opłacalna!”

  16. Mistiqe jako, że jestem Elektronikiem razi mnie to, że napisałeś “dużo lutuję, takie domowe DIY” lutować to możesz kity kazda osoba pracująca w tej dziedzinie powie, że projektuje DIY bo lutować to możesz kogoś pomysły a wtedy to nie będzie tw DIY

Odpowiadasz na komentarz Robert

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: