Foydalanuvchilarni qog‘ozdan mahrum qiluvchi yangi virus aniqlandi
07.08.2012
Rukn: Texnologiya.
Muallif: .

Symantec kompaniyasi «chiqindi» topshiriqlarni chop etishga yuboruvchi yangi chuvalchang aniqlanganligini xabar qildi. Kompaniya ushbu chuvalchangni W32.Printlove sifatida belgilaydi. Zararli kod 2010-yildayoq aniqlangan Microsoft Windows Print Spooler Service Remote Code Execution zaifligidan foydalanadi.

Chuvalchang CVE 2010-2729 zaifligini yopuvchi yangilanish o‘rnatilgan kompyuterlarda o‘zini turlicha tutadi. Symantec mutaxassislari ushbu xavfni ikki kompyuter va kommutator orqali ulangan umumiy tarmoq printeridan tashkil topgan oddiy tarmoqda test sinovlaridan o‘tkazdilar.

A kompyuteri konfiguratsiyasi: Windows XP Professional. Kompyuterda CVE 2010-2729 zaifligini tuzatuvchi yangilanish o‘rnatilgan va u W32.Printlove bilan zararlangan. SHK’da lokal printerga yoki umumiy foydalanish printeriga ulanish o‘rnatilgan.

B kompyuteri konfiguratsiyasi: Windows XP Professional. Birinchi ssenariyda kompyuter yangilanishsiz ishlaydi, ikkinchisida u o‘rnatilgan. Unga umumiy foydalanish uchun ochiq bo‘lgan tarmoq printeri ulangan.

Kompyuter A topshiriqni chop etish uchun B kompyuterga jo‘natish uchun ruxsatga ega bo‘lishi kerak. Windows XP da umumiy printerlardan boshqalarning foydalanishlari maxsus buyruq bo‘yicha ishga tushirilgan; ancha avvalgi operatsion tizimlar uchun kompyuter A B kompyuterga moslashtirilgan autentlashgan bo‘lishi kerak.

Ushbu xavf ishlashi mumkin bo‘lgan ikki ssenariy quyidagilardan iborat:
• A kompyuterida ishlovchi W32.Printlove chop etish tarmoq resurslarini izlaydi. Ularni aniqlagandan so‘ng StartDocPrinter so‘rovnomasidan foydalanib, u o‘zini B kompyuterga jo‘natadi. Chop etish buferining zaifligi istalgan papkaga so‘rovnoma bilan berilgan har qanday faylni yozib olishga imkon beradi. Ushbu zaiflikdan foydalanib, xavf o‘zini B kompyuteriga osongina kiritadi. Rasmda birinchi ssenariy bajarilishi borishi ko‘rsatilgan.
• А kompyuterida ishlovchi W32.Printlove o‘zini shu kabi tutadi va o‘z kodini B kompyuterga o‘tkazadi. B kompyuterida yangilanish o‘rnatilganligi sababli chuvalchang zaiflikdan foydalana olmaydi. Zaiflikni to‘g‘rilash tamoyili chop etishga so‘rovlarni istalgan papkaga yuborishga imkon bermaydi (ya’ni faylda pechatni amalga oshirmaydi). Mana shu sababli chuvalchang o‘zini tizimli katalogga kiritish va eksploytdan foydalanib, avto ishga tushirishni amalga oshira olmaydi. Buning o‘rniga u .spl-fayl ko‘rinishida B kompyuteri pechat buferi papkasida saqlanadi. Shundan so‘ng B kompyuter umumiy foydalanish uchun ulangan printerda ushbu faylni chop etishni boshlaydi. Rasmda 2-ssenariy tasvirlangan.
• W32.Printlove masofadagi kompyuterga ulanishni saqlab qoladi va vaqti-vaqti bilan chop etish buferidan foydalanib, uni zararlantirishga harakat qiladi. Kompyuterlar takroran zararlantirilishi hamda chuvalchang tarmoqdan yo‘qotilmagunga qadar turli kompyuterlardan yuboriladigan ko‘plab «chiqindilarni» chop etish holati sodir bo‘lishi mumkin. Agar tarmoqda bir necha zararlanish sodir bo‘lgan bo‘lsa, keraksiz chop etish manbaini aniqlab olish ancha murakkab bo‘lishi mumkin. Tarmoq administratorlari umumiy foydalanish printeriga ulanishni ta’minlovchi kompyuter chop etish buferi papkasida joylashgan .shd-fayllarini ko‘zdan kechirib zararlangan SHK’ni aniqlashlari mumkin.

SHD fayllari operatsion tizim tomonidan yaratiladi va chop etishga so‘rovnoma to‘g‘risida to‘la axborotdan iborat bo‘ladi. Ularni ko‘zdan kechirish uchun SPLViewerdan foydalanish mumkin. Ushbu fayllar chop etish buferi xizmatidan foydalanishi sababli uni avvaliga to‘xtatish kerak.

Administratorlar chop etishga topshiriq jo‘natish manbaini aniqlashga imkon beruvchi Computername maydoni bo‘yicha zararlangan kompyuterni aniqlashlari mumkin.

Chiqindi chop etish —W32.Printlove hujumiga duchor bo‘lgan kompyuterlardagi CVE 2010-2729 zaifliklarni yo‘qotish yana bir boshqa xususiyatidir. Symantec mahsulotlari foydalanuvchilari agar antivirus bazalari oxirgi yangilanishdan foydalansalar, ular shunday xavfdan himoyalangan bo‘ladi.

Balki Trojan.Milicenso va W32.Printlove o‘rtasida bog‘liqlik mavjuddir, ammo hozirgi kunda bu tasdiqlanmagan. Symantec mutaxassislari jamoasi ushbu xavflar mumkin bo‘lgan bog‘liqligini aniqlash uchun tekshirishni davom ettirmoqdalar.

Manba: www.Symantec.com

Orphus system
O'zbеkistonda AKT yangiliklaridan birinchilar qatorida xabardor bo'lish uchun Telegramda infoCOM.UZ kanaliga obuna bo'ling.
Telegramga qo`shmoq
Odnoklassnikiga yubormoq
VKontakteda bo`lishmoq