印表機狂印 300 張還會亂彈出廣告,原來是中毒了

趨勢科技在這月初收到許多案例關於一定數量的列印工作被發送到印表機和印表伺服器。這會延遲原本的列印工作,因為每個印表機平均會印300頁左右。但到底是什麼在列印?

 

被列印的文件如同下圖,其實是幾行代碼,趨勢科技認為其他惡意軟體想在目標機器上安裝的程式碼。做出這些印表動作的電腦上被發現感染有TROJ_AGENT.BCPC或TROJ_PONMOCOP變種。

 

被列印的文件圖,其實是幾行代碼,趨勢科技認為其他惡意軟體想在目標機器上安裝的程式碼。做出這些印表動作的電腦上被發現感染有TROJ_AGENT.BCPC或TROJ_PONMOCOP變種。
被列印的文件圖,其實是幾行代碼,趨勢科技認為其他惡意軟體想在目標機器上安裝的程式碼。做出這些印表動作的電腦上被發現感染有TROJ_AGENT.BCPC或TROJ_PONMOCOP變種。

 

 

趨勢科技注意到,隨機命名的二進位檔案會出現在中毒電腦的下列位置:

 

TROJ_AGENT.BCPC

 

  • %System%\{隨機十個字母}.exe
  • %System%\SPOOL\PRINTERS\FP{五個數字}.SPL – 我們相信是這檔案導致列印動作
  • %System%\SPOOL\PRINTERS\{隨機檔案}.tmp

 

隨機命名的二進位檔案會出現在中毒電腦的位置
隨機命名的二進位檔案會出現在中毒電腦的位置

 

 

TROJ_PONMOCOP 變種

 

  • %System%\{隨機檔案}.dll
  • Users\{user name}\Appdata\Roaming\{隨機檔案}.dll
  • Documents and Settings\{使用者名稱}\Application Data\{隨機檔案}.dll
  • Program Files\{隨機目錄}\{隨機檔案}.dll
  • %Windows%\SysWOW64\{隨機檔案}.dll

 

 

 

從何而來?

根據我們的分析,我們確認了兩個惡意軟體所使用的入侵點。我們看到跟這攻擊相關的惡意軟體從某些論壇以zip檔案的形式被下載,這論壇可能也存放其他的惡意檔案:

攻擊相關的惡意軟體從某些論壇以zip檔案的形式被下載,這論壇可能也存放其他的惡意檔案:
攻擊相關的惡意軟體從某些論壇以zip檔案的形式被下載,這論壇可能也存放其他的惡意檔案:

 

 

 

趨勢科技也看到有因為點擊特定Google搜尋結果而下載惡意檔案,讓惡意軟體可以進入受感染系統:

 

 

點擊特定Google搜尋結果也會下載惡意檔案
點擊特定Google搜尋結果也會下載惡意檔案

 

 

 

值得注意的行為

 

感染TROJ_AGENT.BCPC的系統會連到http://storage5.static.{BLOCKED}s.ru/i/12/0601/h_1338571059_9957469_b48b167953.jpeg,然後下載ADW_EOREZO。使用者可能會不停的看到彈出式廣告,就是因為上述廣告軟體所造成。顯示的廣告來自http://ads.{BLOCKED}1.com/cgi-bin/advert/getads?did=1077

 

另外,TROJ_PONMOCOP也讓這攻擊變得難以分析。TROJ_PONMOCOP程式碼包含了加密的部分,它會被載入到記憶體中再解密。一旦解密,會變成新的以UPX壓縮過的二進位檔案,並且負責繼續之後的行為。

 

這個新二進位檔案還包含了加密程式碼,解密時需要中毒電腦上的參數,像是%WINDOWS%\SYSTEM32System Volume Information資料夾內的ftCreationTimeftLastAccessTime,以及硬碟序號,好來解密自己。

 

如果解密之後的是可用的二進位檔案,就會再次地將控制權轉移到這個新的二進位檔案。如果不是,那麼之後的惡意行為就不會再繼續。這意味著每個受感染系統上都會有個唯一的二進位程式。請注意,所有的步驟都是在記憶體中完成,意味著沒有檔案產生在硬碟上。

 

接著,惡意軟體會檢查下列註冊表以在記憶體內解密其他二進位檔案。這些註冊表項目會根據受感染電腦的處理器和操作系統而不同:

 

32位元系統:

 

  • HKLM\Software\{隨機}
  • HKCU\Software\{隨機}

 

64位元系統:

 

  • HKLM\Software\Wow6432Node\{隨機}
  • HKCU\Software\Wow6432Node\{隨機}

 

這些註冊表項目包含了加密資料,會被解密成三個二進位檔案。第一個二進位檔案可以監測和禁用「wscsvc」、「WinDefend」和「MsMpSvc」服務。也會刪除以下和安全軟體相關的註冊表內容:

 

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run “Windows Defender”
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run “msse”

 

第二個二進位檔案會將關於「Http Status」、「Time slots」和「Statistics」的資料傳送到遠端伺服器上。詳細的資料內容跟傳送過去的地方正在調查之中。這個二進位檔案也會檢查下列註冊表項目:

 

 

  • HKLM\software\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKCU\software\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKLM\software\Microsoft\Multimedia
  • HKCU\software\Microsoft\Multimedia
  • HKLM\System\CurrentControlSet

 

一旦發現這些項目,第二個二進位檔案會解密值中所包含的數據。解密的數據包含數值和惡意軟體可能試圖劫持或存取的網址。

 

此外,第二個二進位檔案會建立下列新的註冊表項目,包含了額外的加密數據:

 

  • HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Stats\{隨機}
  • HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Stats\{隨機}\{隨機}

 

最後一個二進位檔案行為仍在調查中。

 

來自趨勢科技的防護

 

趨勢科技透過兩種方式保護使用者。所有上述檔案都已經被偵測為惡意。另外,我們也封鎖了所有相關網址以防止新變種被下載到使用者電腦上。相較於傳統作法只單獨針對惡意檔案或網站的隔離,這樣的組合方式可以提供使用者更好的防護。

 

這支病毒會想要利用漏洞往外擴散 利用的就是列印服務的漏洞,如果漏洞攻擊成功就感染成功,如果對方機器是更新過的 沒有漏洞,攻擊失敗就會導致這些程式碼列印出來

@原文出處:Malware Wastes Paper, Triggers Printing and Ads作者:Benjamin Rivera(威脅分析師)

 

 

【印表機凸槌背後的陰謀】駭客植入惡意軟體,操控印表機隱匿存款遭盜取紀錄…#銀行 #資安 #印表機

趨勢科技 Trend Micro 貼上了 2016年3月18日

【午後毒賣新聞】全美多所知名大學驚傳網路遭駭客入侵,校內印表機和傳真機狂印反猶太人傳單,單張上還有納粹標誌。》延伸閱讀:印表機狂印 300 張還會亂彈出廣告 http://t.rend.tw/?i=NDI1Nw#資安 #印表機

趨勢科技 Trend Micro 貼上了 2016年3月27日

 

延伸閱讀:

★你付錢了嗎?別讓檔案當肉票!勒索軟體常見問題集


如何防禦勒索軟體?
★牢記四步驟和”三不三要”口訣
【一般用戶】
★使用趨勢科技PC-cillin 2016對抗勒索軟體
【企業用戶】
★趨勢科技端點解決方案
★中小企業如何防禦加密勒索軟體?

 


PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載


 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 


▼ 歡迎加入趨勢科技社群網站▼

好友人數