ویروسی که چاپ می کند!
یک ویروس جدید که با سوء استفاده از یک نقطه ضعف قدیمی Windows منتشر می شود، دلیل احتمالی حرکات مشکوک چاپگرهای شبکه در چند هفته اخیر است.
چند هفته قبل خبرهایی درباره چاپ مطالب بی معنی توسط چاپگرهای متصل به شبکه که بطور اتفاقی رخ می دهند، منتشر شد. در آن زمان، بسیاری از شرکت ها و کارشناسان امنیتی، این رفتار را ناشی از اشتباهات برنامه نویسی در ویروس قدیمی Milicenso دانستند. اکنون با بررسی های بیشتر، مشخص گردیده که این حرکات مشکوک چاپگرهای شبکه می تواند در نتیجه فعالیت ویروس جدیدی به نام Printlove باشد.
ویروس Printlove از یک نقطه ضعف قدیمی در بخش Print Spooler در سیستم عامل Windows سوء استفاده کرده و دسترسی غیر مجاز به کامپیوترهای شبکه پیدا می کند تا آنها را نیز آلوده نماید. نکته جالب درباره ویروس Printlove، استفاده این ویروس از نقطه ضعفی است که توسط ویروس مشهور Stuxnet هم استفاده می شد. نقطه ضعف مورد نظر با شماره CVE-2010-2729 مشخص گردیده و بیش از دو سال قبل توسط شرکت مایکروسافت اصلاح و ترمیم شده است.
در مواردی که ویروس Printlove نتواند با موفقیت کامپیوترهای Win XP را آلوده کند، چاپ اطلاعات بی معنی توسط چاپگرهای شبکه اتفاق می افتد. ویروس Printlove برای آلوده کردن یک کامپیوتر، یک دستور چاپ دستکاری شده به کامپیوتر مورد نظر می فرستد. این دستور چاپ به نحوی تنظیم شده تا بتواند از نقطه ضعف در Print Spooler سوء استفاده کند و دسترسی غیر مجاز به کامپیوتر سالم را فراهم آورد.
در صورتی که نقطه ضعف مورد بحث ترمیم نشده باشد، ویروس با موفقیت به کامپیوتر سالم دسترسی پیدا کرده و فایل آلوده ای را در شاخه Windows System قرار داده و اجرا می کند. ولی اگر نقطه ضعف بر روی کامپیوتر سالم ترمیم شده باشد، یک کپی از ویروس Printlove در شاخه Spool \ Printers ایجاد می شود. این فایل دارای نامهای متغیر بوده و پسوند spl. خواهد داشت. کامپیوتر این فایل را به عنوان یک دستور چاپ جدید تلقی کرده و اقدام به چاپ محتوای فایل اجرایی ویروس می کند. به همین دلیل نیز مطالب چاپ شده بی معنی است.
چون ویروس Printlove به طور مستمر و مکرر اقدام به آلوده ساختن کامپیوترهای شبکه می کند، احتمال اینگونه چاپ ها توسط چاپگرها دائماً وجود دارد و تا زمانی که تمام کامپیوترهای شبکه از این ویروس پاکسازی نشوند، این اتفاق تکرار خواهد شد.
برای شناسایی کامپیوترهای آلوده به Printlove می توان از فایل shd. که توسط ویروس در شاخه Spool به جا گذاشته می شود، استفاده کرد. در این فایل، نام کامپیوتر ارسال کننده دستور چاپ وجود دارد. محتوای فایل shd. را می توان با ابزار رایگان SPLViewer مشاهده کرد.
