ウイルス対策会社シマンテックのセキュリティ研究者によると、Trojan.Milicensoと呼ばれるマルウェアプログラムの新しい亜種に感染したWindowsコンピューターに接続されたプリンターは、文字化けしたデータでいっぱいのページを自動的に印刷するようになるという。
6 月 9 日、SANS Internet Storm Center (ISC) は、実行可能ファイルの内容と思われるものをプリンターが自動的に印刷する、最近観測されたプリント爆弾攻撃について報告しました。
SANS ISC の専門家は、印刷されたファイルのコピーを入手し、それがアドウェア プログラム (許可なく広告を表示するように設計されたプログラム) の一部であり、一部のウイルス対策製品によって Adware.Eorezo として検出されたものであることを判定しました。
シマンテックのセキュリティ研究者らも不正プリントアウトの報告を調査し、Adware.Eorezo ファイルが Trojan.Milicenso の新しい亜種によって影響を受けるコンピュータにドロップされていることを発見しました。
Trojan.Milicensoは2010年に初めて出現しましたが、過去2週間で新たな感染が確認されていると、シマンテックのセキュリティ対策チームは木曜日のブログ投稿で発表しました。「当社のテレメトリデータによると、最も被害が大きかったのは米国とインドで、次いで欧州と南米となっています。」
シマンテックの研究者は、ユーザーをフランス語のウェブサイトにリダイレクトする Adware.Eorezo が、Trojan.Milicenso によって、自分自身への注意をそらすためのおとりとして使用されていると考えています。
シマンテックの研究者らによると、Trojan.Milicenso は、悪質な電子メールの添付ファイル、感染した Web サイトから実行されるドライブバイダウンロード、あるいはソーシャルエンジニアリング詐欺で宣伝される偽のコーデックなど、さまざまな方法で配布されるという。
コンピュータに感染すると、マルウェアはAware.Eorezoのコピーをランダムな名前の.splファイル(Windows Printer Spool File)として、デフォルトのWindowsプリンタスプールディレクトリ(%SystemRoot%system32spoolprinters)にドロップします。.spl拡張子が付いているにもかかわらず、この不正ファイルは実際には実行ファイルです。
スプールディレクトリは、プリンタが印刷をスケジュールしたファイルのコピーを一時的に保存します。一部のプリンタではユーザーがカスタムスプールディレクトリを指定できる場合もありますが、多くの設定ではWindowsのデフォルトのスプールディレクトリが使用されます。
これにより、新しい Trojan.Milicenso の亜種に感染したコンピューターに接続されたプリンターは、不正な .spl ファイルの内容を自動的に印刷するようになり、場合によっては用紙がなくなるまで印刷が続きます。
「これまでに発見したことに基づくと、文字化けしたプリントアウトは作成者の意図的な狙いというよりは、感染ベクトルの副作用であるようだ」とシマンテックの研究者らは述べた。
木曜日、SANS ISCの研究者らは、ウイルス対策ソフトによる検出率が非常に低いこのトロイの木馬プログラムの新しい亜種を発見した。
このような不正なプリンタの動作に気付いたユーザーは、Trojan.Milicenso および Aware.Eorezo を検出して削除できるウイルス対策プログラムを使用してコンピューターをスキャンすることをお勧めします。
