點評:spoolsv.exe系統進程介紹
進程文件: spoolsv or spoolsv.exe
進程名稱: Printer Spooler Service
描 述: Windows打印任務控制程序,用以打印機就緒。
介 紹:緩沖(spooler)服務是管理緩沖池中的打印和傳真作業。
Spoolsv.exe→打印任務控制程序,一般會先加載以供列表機打印前的準備工作,Spoolsv.exe,如果常增高,有可能是病毒感染所致
目前常見的是:
Backdoor/Byshell(又叫隱形大盜、隱形殺手、西門慶病毒)
危害程度:中
受影響的系統: Windows 2000, Windows XP, Windows Server 2003
病毒危害:
1. 生成病毒文件
2. 插入正常系統文件中
3. 修改系統註冊表
4. 可被黑客遠程控制
5. 躲避反病毒軟件的查殺
簡單的後門木馬,發作會刪除自身程序,但將自身程序套入可執行程序內(如:exe),並與計算機的通口(TCP端口138)掛鉤,監控計算機的信息、密碼,甚至是鍵盤操作,作為回傳的信息,並不時驅動端口,以等候傳進的命令,由於該木馬不能判別何者是正確的端口,所以負責輸出的列表機也是其驅動對象,以致Spoolsv.exe的使用異常頻繁……
Backdoor.Win32.Plutor
破壞方法:感染PE文件的後門程序,病毒采用VC編寫。
病毒運行後有以下行為:
1、將病毒文件復制到%WINDIR%目錄下,文件名為";Spoolsv.exe";,並該病毒文件運行。";Spoolsv.exe";文件運行後釋放文件名為";mscheck.exe";的文件到%SYSDIR%目錄下,該文件的主要功能是每次激活時運行";Spoolsv.exe";文件。如果所運行的文件是感染瞭正常文件的病毒文件,病毒將會把該文件恢復並將其運行。
2、修改註冊表以下鍵值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
增加數據項:";Microsoft Script Checker"; 數據為:";MSCHECK.EXE /START";
修改該項註冊表使";MSCHECK.EXE";文件每次系統激活時都將被運行,而";MSCHECK.EXE";用於運行";Spoolsv.exe";文件,從而達到病毒自激活的目的。
3、創建一個線程用於感染C盤下的PE文件,但是文件路徑中包含";winnt";、";Windows";字符串的文件不感染。另外,該病毒還會枚舉局域網中的共享目錄並試圖對這些目錄下的文件進行感染。該病毒感染文件方法比較簡單,將正常文件的前0x16000個字節替換為病毒文件中的數據,並將原來0x16000個字節的數據插入所感染的文件尾部。
4、試圖與局域網內名為";admin";的郵槽聯系,創建名為";client";的郵槽用於接收其控制端所發送的命令,為其控制端提供以下遠程控制服務:
顯示或隱藏指定窗口、屏幕截取、控制CDROM、關閉計算器、註銷、破壞硬盤數據。