趨勢科技在七月初收到很多關(guān)于一定數(shù)量的打印工作被發(fā)送到打印機和打印服務(wù)器的案例。這會延遲原本正常的打印工作，因為每個打印機會打印大約 300 頁無意義的內(nèi)容，那么到底是什么程序在打??？

打印的實際內(nèi)容如下圖，其實就是幾行代碼，趨勢科技認(rèn)為這是惡意軟件想在目標(biāo)機器上安裝的程序代碼。對于有這類打印行為的電腦，我們檢測出了 TROJ_AGENT.BCPC 或 TROJ_PONMOCOP 變種病毒。

 

趨勢科技注意到，在中毒電腦的下列位置，還會出現(xiàn)隨機命名的二進(jìn)制文件：

TROJ_AGENT.BCPC

%System%{隨機十個字母}.exe

%System%SPOOLPRINTERSFP{五個數(shù)字}.SPL – 我們相信是這個文件產(chǎn)生了打印作業(yè)

%System%SPOOLPRINTERS{隨機文件名}.tmp

 

TROJ_PONMOCOP 變種

%System%{隨機文件名}.dll

Users{user name}AppdataRoaming{隨機文件名}.dll

Documents and Settings{用戶名}Application Data{隨機文件名}.dll

Program Files{隨機目錄}{隨機文件名}.dll

%Windows%SysWOW64{隨機文件名}.dll

 

從何而來？

根據(jù)分析，我們確認(rèn)了這兩個惡意軟件所使用的入侵點。我們發(fā)現(xiàn)和這次攻擊相關(guān)的惡意軟件是從某些論壇以 zip 文件的形式下載的，這些論壇可能還包含其他惡意軟件：

 

趨勢科技還發(fā)現(xiàn)，有用戶由于針對性的 Google 搜索結(jié)果攻擊而無意下載到惡意文件，讓惡意軟件可以進(jìn)入受感染系統(tǒng)：

 

值得注意的行為

感染 TROJ_AGENT.BCPC 的系統(tǒng)會訪問 http://storage5.static.{BLOCKED}s.ru/i/12/0601/h_1338571059_9957469_b48b167953.jpeg，然后下載 ADW_EOREZO。用戶可能會不停地看到彈出廣告，這些廣告也就是上述廣告軟件所造成。顯示的廣告內(nèi)容則來自 http://ads.{BLOCKED}1.com/cgi-bin/advert/getads?did=1077。

另外，TROJ_PONMOCOP 也使得這些攻擊變得難以分析。TROJ_PONMOCOP 程序代碼包含了加密的部分，它會被載入到內(nèi)存中再解密。一旦解密，會變成新的，以 UPX 格式壓縮過的二進(jìn)制文件，并由該文件負(fù)責(zé)后續(xù)行為。

這個新的二進(jìn)制文件也包含加密后的程序代碼，解密時需要提供中毒電腦的參數(shù)，例如 %WINDOWS%SYSTEM32 和 System Volume Information 文件夾中的 ftCreationTime 和 ftLastAccessTime，以及硬盤序列號。

如果解密之后的是可用的二進(jìn)制文件，這個文件會再次接管惡意軟件的控制權(quán)。如果是不可用二進(jìn)制文件，那么后續(xù)的惡意行為就不會繼續(xù)。這意味著每個受感染系統(tǒng)上都會有個唯一的二進(jìn)制程序。請注意，所有的步驟都是在內(nèi)存中完成的，這也意味著硬盤上不會保存任何記錄。

接著，惡意軟件會檢查注冊表的下列位置，并在內(nèi)存中解密出更多二進(jìn)制文件。這些注冊表項目會根據(jù)受感染電腦的處理器和操作系統(tǒng)的不同而有所不同：

32位系統(tǒng)：

HKLMSoftware{隨機}

HKCUSoftware{隨機}

64位系統(tǒng)：

HKLMSoftwareWow6432Node{隨機}

HKCUSoftwareWow6432Node{隨機}

這些注冊表項目包含了加密信息，會被解密成三個二進(jìn)制文件。第一個文件可以監(jiān)測并禁用“wscsvc”、“WinDefend”和“MsMpSvc”服務(wù)，同時還會刪除以下和安全軟件有關(guān)的注冊表內(nèi)容：

HKLMSoftwareMicrosoftWindowsCurrentVersionRun “Windows Defender”

HKLMSoftwareMicrosoftWindowsCurrentVersionRun “msse”

第二個文件會將關(guān)于“Http Status”、“Time slots”和“Statistics”的信息傳輸?shù)竭h(yuǎn)程服務(wù)器上。具體的數(shù)據(jù)內(nèi)容以及傳輸?shù)降哪康牡剡€在研究中。這個文件還會檢查下列注冊表項目：

HKLMsoftwareMicrosoftWindowsCurrentVersionInternet Settings

HKCUsoftwareMicrosoftWindowsCurrentVersionInternet Settings

HKLMsoftwareMicrosoftMultimedia

HKCUsoftwareMicrosoftMultimedia

HKLMSystemCurrentControlSet

一旦發(fā)現(xiàn)這些項目，第二個文件會對這些注冊表鍵值中所包含的數(shù)據(jù)進(jìn)行解碼，解碼的結(jié)果所包含的信息包含用于試圖劫持或訪問的網(wǎng)址。

此外，第二個文件還會建立下列新的注冊表項，其中包含了額外的加密數(shù)據(jù)：

HKCUSoftwareMicrosoftInternet ExplorerLowRegistryStats{隨機}

HKCUSoftwareMicrosoftInternet ExplorerLowRegistryStats{隨機}{隨機}

最后一個文件的行為還在調(diào)查中。

來自趨勢科技的防護(hù)

趨勢科技通過兩種方式保護(hù)用戶。所有上述文件都已被檢測為惡已文件。另外，我們也封鎖了所有相關(guān)網(wǎng)址，以防止新變種被下載到用戶電腦上。相對于傳統(tǒng)作法只單獨針對惡意文件或網(wǎng)站所進(jìn)行的隔離，這樣的組合方式可以為用戶提供更好的防護(hù)。