趨勢科技在本月初收到很多關於一定數量的列印工作被髮送到印表機和列印伺服器的案例。這會延遲原本正常的列印工作，因為每個印表機會列印大約 300頁無意義的內容，那麼到底是什麼程式在列印？

列印的實際內容如下圖，其實就是幾行程式碼，趨勢科技認為這是惡意軟體想在目標機器上安裝的程式程式碼。對於有這類列印行為的電腦，我們檢測出了TROJ_AGENT.BCPC或TROJ_PONMOCOP 變種病毒。

趨勢科技注意到，在中毒電腦的下列位置，還會出現隨機命名的二進位制檔案：

TROJ_AGENT.BCPC

• %System%\{隨機十個字母}.exe
• %System%\SPOOL\PRINTERS\FP{五個數字}.SPL–我們相信是這個檔案產生了列印作業
• %System%\SPOOL\PRINTERS\{隨機檔名}.tmp

TROJ_PONMOCOP變種

• %System%\{隨機檔名}.dll
• Users\{user     name}\Appdata\Roaming\{隨機檔名}.dll
• Documents and Settings\{使用者名稱}\Application Data\{隨機檔名}.dll
• Program Files\{隨機目錄}\{隨機檔名}.dll
• %Windows%\SysWOW64\{隨機檔名}.dll

從何而來？

根據分析，我們確認了這兩個惡意軟體所使用的入侵點。我們發現和這次攻擊相關的惡意軟體是從某些論壇以zip檔案的形式下載的，這些論壇可能還包含其他惡意軟體：

趨勢科技還發現，有使用者由於針對性的Google搜尋結果攻擊而無意下載到惡意檔案，讓惡意軟體可以進入受感染系統：

值得注意的行為

感染TROJ_AGENT.BCPC的系統會訪問http://storage5.static.{BLOCKED}s.ru/i/12/0601/h_1338571059_9957469_b48b167953.jpeg，然後下載ADW_EOREZO。使用者可能會不停地看到彈出廣告，這些廣告也就是上述廣告軟體所造成。顯示的廣告內容則來自http://ads.{BLOCKED}1.com/cgi-bin/advert/getads?did=1077。

另外，TROJ_PONMOCOP也使得這些攻擊變得難以分析。TROJ_PONMOCOP

這個新的二進位制檔案也包含加密後的程式程式碼，解密時需要提供中毒電腦的引數，例如%WINDOWS%\SYSTEM32和System VolumeInformation 資料夾中的ftCreationTime 和ftLastAccessTime，以及硬碟序列號。

如果解密之後的是可用的二進位制檔案，這個檔案會再次接管惡意軟體的控制權。如果是不可用二進位制檔案，那麼後續的惡意行為就不會繼續。這意味著每個受感染系統上都會有個唯一的二進位制程式。請注意，所有的步驟都是在記憶體中完成的，這也意味著硬碟上不會儲存任何記錄。

接著，惡意軟體會檢查登錄檔的下列位置，並在記憶體中解密出更多二進位制檔案。這些登錄檔專案會根據受感染電腦的處理器和作業系統的不同而有所不同：

32位系統：

• HKLM\Software\{隨機}
• HKCU\Software\{隨機}

64位系統：

• HKLM\Software\Wow6432Node\{隨機}
• HKCU\Software\Wow6432Node\{隨機}

這些登錄檔專案包含了加密資訊，會被解密成三個二進位制檔案。第一個檔案可以監測並禁用“wscsvc”、“WinDefend”和“MsMpSvc”服務，同時還會刪除以下和安全軟體有關的登錄檔內容：

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run    “Windows Defender”
• HKLM\Software\Microsoft\Windows\CurrentVersion\Run    “msse”

第二個檔案會將關於“Http Status”、“Time slots”和“Statistics”的資訊傳輸到遠端伺服器上。具體的資料內容以及傳輸到的目的地還在研究中。這個檔案還會檢查下列登錄檔專案：

• HKLM\software\Microsoft\Windows\CurrentVersion\Internet     Settings
• HKCU\software\Microsoft\Windows\CurrentVersion\Internet     Settings
• HKLM\software\Microsoft\Multimedia
• HKCU\software\Microsoft\Multimedia
• HKLM\System\CurrentControlSet

一旦發現這些專案，第二個檔案會對這些登錄檔鍵值中所包含的資料進行解碼，解碼的結果所包含的資訊包含用於試圖劫持或訪問的網址。

此外，第二個檔案還會建立下列新的登錄檔項，其中包含了額外的加密資料：

• HKCU\Software\Microsoft\Internet     Explorer\LowRegistry\Stats\{隨機}
• HKCU\Software\Microsoft\Internet     Explorer\LowRegistry\Stats\{隨機}\{隨機}

最後一個檔案的行為還在調查中。

來自趨勢科技的防護

趨勢科技通過兩種方式保護使用者。所有上述檔案都已被檢測為惡已檔案。另外，我們也封鎖了所有相關網址，以防止新變種被下載到使用者電腦上。相對於傳統作法只單獨針對惡意檔案或網站所進行的隔離，這樣的組合方式可以為使用者提供更好的防護。

趨勢科技還在持續調查這次攻擊，並會繼續更新這篇文章，讓這“印表機病毒”的全貌變得更加清晰。

Lenart Bermejo、BrianCayanan和Allan Sepillo協助分析