印表機木馬

印表機木馬

“印表機木馬”號稱史上最不環保的(Trojan.Milicenso)破壞性電腦病毒。2012年肆虐全球,美國、印度、北歐等地區大批企業電腦感染,導致數千台印表機瘋狂列印毫無意義的內容,直到耗完紙張或強行關閉印表機才會停止。 2012年06月360企業為此發布安全警告稱:儘管國內尚無“印表機木馬”大規模感染跡象,企業用戶仍需及時更新安全軟體,預防該木馬入侵。 “印表機木馬”最早在2010年出現,2012年6月捲土重來,導致很多國家和地區的企業電腦中此病毒。

特徵

Spoolsv.exe是Windows進程,用於把系統的列印任務傳送到印表機執行,是電腦中控制列印工作的進程。但值得注意的是,Spoolsv.exe也有可能是Backdoor.Ciadoor.B木馬,一種延緩列印的木馬程式,該木馬能夠使用戶的電腦CPU占用率達到100%,從而導致CPU風扇高速嘈鬧地運轉,並且允許攻擊者訪問你的計算機,盜取個人資料及密碼。

危害

Trojan.Milicenso“印表機木馬”主要通過電子郵件、掛馬網站等途徑傳播,其目的是刷廣告流量,但同時也會影響電腦連線的印表機,使其在沒有指定列印內容的情況下不停工作,因此會輸出毫無意義的內容。

該惡意軟體會打開PC機列印程式中的一個檔案,於是Windows作業系統將向印表機發出做好列印準備的命令。由於用戶並沒有為印表機指定具體列印內容,於是印表機就會列印出一大堆毫無意義的內容,而且在印表機所裝上紙張耗盡之前,列印活動不會停止。

傳播途徑

網路安全公司稱, (Trojan.Milicenso )惡意軟體感染PC機的途徑很多,其中包括用戶打開含有惡意代碼附屬檔案的電子郵件、訪問含有惡意代碼的網站、打開含有惡意代碼的視頻內容等等。用戶一旦被感染,則瀏覽器將指向相關廣告頁面,惡意軟體散布者通常是通過這種方式來獲得收入。

檢測方法

正常系統進程Spoolsv.exe其路徑為C:\windows\systems32\spoolsv.exe。木馬Spoolsv.exe進程的路徑為C:\WINDOWS\system32\spoolsv\spoolsv.exe

開始-運行,輸入msconfig,回車,打開實用配置程式,選擇“啟動”, 感染以後會在啟動項裡面發現運行Spoolsv.exe的啟動項, 每次進入Windows會有NTservice的對話框。

打開系統盤,假設C糟,看是否存在C:Windows/system32/spoolsv資料夾,裡面有個spoolsv.exe檔案,有“傲訊瀏覽器輔助工具”的字樣說明,正常的spoolsv.exe印表機緩衝池檔案應該在C:Windows/system32目錄下。

打開任務管理器,會發現spoolsv.exe進程,而且CPU占用率很高。

預防清除

重新啟動電腦,按F8進入安全模式。單擊“開始—運行”命令,輸入CMD,打開DOS視窗。輸入cd,按下Enter鍵,退回C:根目錄。使用rd命令,刪除以下目錄。rd命令使用方法:如輸入“rd c:\windows\system32\spoolsv/s”按Enter鍵出現提示,按Y確認刪除即可。

使用del命令刪除以下檔案。del命令使用方法:如輸入“delc:\windows\system32\spoolsv.exe”按下Enter鍵即可刪除受感染的spoolsv.exe檔案。

重新啟動電腦進入安全模式。右鍵單擊”我的電腦“,選擇“管理”打開“計算機管理”對話框,選擇“服務和應用程式—服務”,在右邊找到 “NTservice”設定其屬性中的啟動類型為“禁用”。

單擊“開始—運行”命令,輸入regedit,打開註冊表。選擇“編輯—選擇查找”,查找含有spoolsv.exe的註冊表項目並刪除。可以利用F3繼續查找,將含有spoolsv.exe的註冊表項目全部刪除。

如果執行以上操作後,電腦仍然有spoolsv.exe進程運行,右鍵單擊“我的電腦”,選擇“管理”,點擊“服務和應用程式—服務”,右鍵單擊print spooler,選擇“屬性”,單擊“停止”按鈕,然後修改啟動類型為“手動”或“禁用”。然後重複以上操作。

相關詞條

熱門詞條

聯絡我們