基本介紹
- 中文名:印表機木馬
- 外文名:Trojan.Milicenso
- 病毒類型:破壞性木馬
- 爆發時間:2012年6月
- 誕生時間:2010年
- 作業系統:Windows 32位操作平台
特徵,危害,傳播途徑,檢測方法,預防清除,
特徵
Spoolsv.exe是Windows進程,用於把系統的列印任務傳送到印表機執行,是電腦中控制列印工作的進程。但值得注意的是,Spoolsv.exe也有可能是Backdoor.Ciadoor.B木馬,一種延緩列印的木馬程式,該木馬能夠使用戶的電腦CPU占用率達到100%,從而導致CPU風扇高速嘈鬧地運轉,並且允許攻擊者訪問你的計算機,盜取個人資料及密碼。
危害
Trojan.Milicenso“印表機木馬”主要通過電子郵件、掛馬網站等途徑傳播,其目的是刷廣告流量,但同時也會影響電腦連線的印表機,使其在沒有指定列印內容的情況下不停工作,因此會輸出毫無意義的內容。
該惡意軟體會打開PC機列印程式中的一個檔案,於是Windows作業系統將向印表機發出做好列印準備的命令。由於用戶並沒有為印表機指定具體列印內容,於是印表機就會列印出一大堆毫無意義的內容,而且在印表機所裝上紙張耗盡之前,列印活動不會停止。
傳播途徑
網路安全公司稱,(Trojan.Milicenso)惡意軟體感染PC機的途徑很多,其中包括用戶打開含有惡意代碼附屬檔案的電子郵件、訪問含有惡意代碼的網站、打開含有惡意代碼的視頻內容等等。用戶一旦被感染,則瀏覽器將指向相關廣告頁面,惡意軟體散布者通常是通過這種方式來獲得收入。
檢測方法
正常系統進程Spoolsv.exe其路徑為C:\windows\systems32\spoolsv.exe。木馬Spoolsv.exe進程的路徑為C:\WINDOWS\system32\spoolsv\spoolsv.exe
開始-運行,輸入msconfig,回車,打開實用配置程式,選擇“啟動”, 感染以後會在啟動項裡面發現運行Spoolsv.exe的啟動項, 每次進入Windows會有NTservice的對話框。
打開系統盤,假設C糟,看是否存在C:Windows/system32/spoolsv資料夾,裡面有個spoolsv.exe檔案,有“傲訊瀏覽器輔助工具”的字樣說明,正常的spoolsv.exe印表機緩衝池檔案應該在C:Windows/system32目錄下。
打開任務管理器,會發現spoolsv.exe進程,而且CPU占用率很高。
預防清除
使用del命令刪除以下檔案。del命令使用方法:如輸入“delc:\windows\system32\spoolsv.exe”按下Enter鍵即可刪除受感染的spoolsv.exe檔案。
單擊“開始—運行”命令,輸入regedit,打開註冊表。選擇“編輯—選擇查找”,查找含有spoolsv.exe的註冊表項目並刪除。可以利用F3繼續查找,將含有spoolsv.exe的註冊表項目全部刪除。
如果執行以上操作後,電腦仍然有spoolsv.exe進程運行,右鍵單擊“我的電腦”,選擇“管理”,點擊“服務和應用程式—服務”,右鍵單擊print spooler,選擇“屬性”,單擊“停止”按鈕,然後修改啟動類型為“手動”或“禁用”。然後重複以上操作。
