作者：趋势科技威胁分析师 Benjamin Rivera

趋势科技在本月初收到很多关于一定数量的打印工作被发送到打印机和打印服务器的案例。这会延迟原本正常的打印工作，因为每个打印机会打印大约 300 页无意义的内容，那么到底是什么程序在打印？

打印的实际内容如下图，其实就是几行代码，趋势科技认为这是恶意软件想在目标机器上安装的程序代码。对于有这类打印行为的电脑，我们检测出了 TROJ_AGENT.BCPC 或 TROJ_PONMOCOP 变种病毒。

趋势科技注意到，在中毒电脑的下列位置，还会出现随机命名的二进制文件：

TROJ_AGENT.BCPC

• %System%\{随机十个字母}.exe
• %System%\SPOOL\PRINTERS\FP{五个数字}.SPL – 我们相信是这个文件产生了打印作业
• %System%\SPOOL\PRINTERS\{随机文件名}.tmp

TROJ_PONMOCOP 变种

• %System%\{随机文件名}.dll
• Users\{user name}\Appdata\Roaming\{随机文件名}.dll
• Documents and Settings\{用户名}\Application Data\{随机文件名}.dll
• Program Files\{随机目录}\{随机文件名}.dll
• %Windows%\SysWOW64\{随机文件名}.dll

从何而来？

根据分析，我们确认了这两个恶意软件所使用的入侵点。我们发现和这次攻击相关的恶意软件是从某些论坛以 zip 文件的形式下载的，这些论坛可能还包含其他恶意软件：

趋势科技还发现，有用户由于针对性的 Google 搜索结果攻击而无意下载到恶意文件，让恶意软件可以进入受感染系统：

值得注意的行为

感染 TROJ_AGENT.BCPC 的系统会访问 http://storage5.static.{BLOCKED}s.ru/i/12/0601/h_1338571059_9957469_b48b167953.jpeg，然后下载 ADW_EOREZO。用户可能会不停地看到弹出广告，这些广告也就是上述广告软件所造成。显示的广告内容则来自 http://ads.{BLOCKED}1.com/cgi-bin/advert/getads?did=1077。

另外，TROJ_PONMOCOP 也使得这些攻击变得难以分析。TROJ_PONMOCOP 程序代码包含了加密的部分，它会被载入到内存中再解密。一旦解密，会变成新的，以 UPX 格式压缩过的二进制文件，并由该文件负责后续行为。

这个新的二进制文件也包含加密后的程序代码，解密时需要提供中毒电脑的参数，例如 %WINDOWS%\SYSTEM32 和 System Volume Information 文件夹中的 ftCreationTime 和 ftLastAccessTime，以及硬盘序列号。

如果解密之后的是可用的二进制文件，这个文件会再次接管恶意软件的控制权。如果是不可用二进制文件，那么后续的恶意行为就不会继续。这意味着每个受感染系统上都会有个唯一的二进制程序。请注意，所有的步骤都是在内存中完成的，这也意味着硬盘上不会保存任何记录。

接着，恶意软件会检查注册表的下列位置，并在内存中解密出更多二进制文件。这些注册表项目会根据受感染电脑的处理器和操作系统的不同而有所不同：

32位系统：

• HKLM\Software\{随机}
• HKCU\Software\{随机}

64位系统：

• HKLM\Software\Wow6432Node\{随机}
• HKCU\Software\Wow6432Node\{随机}

这些注册表项目包含了加密信息，会被解密成三个二进制文件。第一个文件可以监测并禁用“wscsvc”、“WinDefend”和“MsMpSvc”服务，同时还会删除以下和安全软件有关的注册表内容：

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run “Windows Defender”
• HKLM\Software\Microsoft\Windows\CurrentVersion\Run “msse”

第二个文件会将关于“Http Status”、“Time slots”和“Statistics”的信息传输到远程服务器上。具体的数据内容以及传输到的目的地还在研究中。这个文件还会检查下列注册表项目：

• HKLM\software\Microsoft\Windows\CurrentVersion\Internet Settings
• HKCU\software\Microsoft\Windows\CurrentVersion\Internet Settings
• HKLM\software\Microsoft\Multimedia
• HKCU\software\Microsoft\Multimedia
• HKLM\System\CurrentControlSet

一旦发现这些项目，第二个文件会对这些注册表键值中所包含的数据进行解码，解码的结果所包含的信息包含用于试图劫持或访问的网址。

此外，第二个文件还会建立下列新的注册表项，其中包含了额外的加密数据：

• HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Stats\{随机}
• HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Stats\{随机}\{随机}

最后一个文件的行为还在调查中。

来自趋势科技的防护

趋势科技通过两种方式保护用户。所有上述文件都已被检测为恶已文件。另外，我们也封锁了所有相关网址，以防止新变种被下载到用户电脑上。相对于传统作法只单独针对恶意文件或网站所进行的隔离，这样的组合方式可以为用户提供更好的防护。

趋势科技还在持续调查这次攻击，并会继续更新这篇文章，让这“打印机病毒”的全貌变得更加清晰。

Lenart Bermejo、Brian Cayanan和Allan Sepillo协助分析

＠原文出处：Malware Wastes Paper, Triggers Printing and Ads