В последние две недели из разных регионов мира (США, Польша, Германия, Индия, Бразилия) поступили сведения о странном поведении лазерных принтеров, которые вдруг начинали печатать бессмысленный набор символов, пока в лотке не заканчивалась бумага. Это является результатом активности вируса Trojan.Milicenso, сообщает антивирусная компания Symantec.
Вообще-то, Trojan.Milicenso был обнаружен ещё в далёком 2010 году, но почему-то именно сейчас он проявил себя. Вирус инфицирует компьютер разными способами, в том числе через drive-by и в виде аттачментов по почте. В последнее время он часто рассылается как ссылка на фальшивый кодек.
Троян создаёт и запускает дроппер, который, в свою очередь, создаёт DLL-файл со случайным именем в системной папке. Этот файл шифруется уникальным ключом, который генерируется с использованием конкретных параметров компьютера (время создания системной папки и время создания системного раздела). Вирус проверяет, не находится ли он внутри песочницы или виртуальной машины.
В этом случае он не скрывает свою активность, как можно было предположить, а наоборот, начинает явно проявлять совершенно несвойственные ему действия, притворяясь рекламным зловредом Adware.Eorezo. Именно в этой ситуации вирус копирует бинарник Adware.Eorezo в файл .spl в папку %System%\spool\printers — файл в этой папке автоматически инициирует печать.
По мнению экспертов, печать на принтере является частью «ложной активности» вируса. Более того, печать ложного файла можно воспринимать как своеобразную шутку над исследователями.
Реальное предназначение вируса пока не совсем понятно. Он обменивается зашифрованными файлами с удалённым сервером. Вирус подписан сертификатом французского Agence Exclusive, срок действия которого истекает в январе 2012 года. Исследователям не удалось найти следы существования фирмы с таким названием. Возможно, вирус выполнял какую-то полезную работу несколько лет назад, доставляя вредоносное ПО на заражённые компьютеры, а сейчас уже не используется по основному предназначению.
