Антивирусные специалисты компании Symantec изучили работу, обнаруженного в конце июня 2012 года сетевого червя под названием W32.Printlove. Одним из способов распространения этого червя стала уязвимость CVE-2010-2729 в Диспетчере очереди печати (Printer Spooler) ОС семейства Windows, позволяющая удаленно выполнить произвольный программный код. Эта уязвимость была устранена в сентябре 2010 года, и в случае, если на компьютере пользователя установлено это исправление, попытка заражения приводит к печати программного кода вредоноса на принтере, подключенного к этому компьютеру. Похожая ситуация наблюдалась с печатающим вирусом Trojan.Milicenso (a.k.a "Printer Bomb"), образцы которого также были обнаружены в июне этого года. Использование похожих эксплоитов может говорить о связи между собой разработчиков этих зловредов. Кроме распространения через уязвимость CVE-2010-2729, интернет-червь W32.Printlove распространяется через систему автозапуска сменных носителей, а также выполняет функции трояна с удаленным управлением. После своего запуска он собирает информацию о системе и отправляет её на веб-сервер злоумышленников. Кроме того, в W32.Printlove реализована возможность удаленной загрузки программного кода с последующим его запуском. Эксперты рекомендуют произвести антивирусную проверку и лечение компьютерных систем, в случае обнаружения подозрительных распечаток на принтерах, подключенных к компьютерам и сети предприятия.
Подробности