最近シマンテックには、ネットワークプリンタで文字化けが印刷されるという問題がお客様から何件も報告されています。調査を進めるうちに、文字化けの印刷ジョブを送信する新しいワームが見つかりました。シマンテックは、このワームを W32.Printlove として検出します。W32.Printlove は、2010 年に見つかった、Microsoft Windows の印刷スプーラサービスに存在するリモートコード実行の脆弱性(CVE 2010-2729)を利用してネットワークを介して拡散します。W32.Printlove が文字化けの印刷を引き起こす過程については、以下のビデオをご覧ください。
このビデオでは、ネットワーク上のコンピュータで CVE 2010-2729 に対するパッチが適用されているかどうかに応じて W32.Printlove が 2 通りに動作するシナリオを紹介しています。今回、2 台のコンピュータと、スイッチで接続した 1 台の共有ネットワークプリンタで構成される単純なネットワークでこの脅威の実験を行いました。
コンピュータ A の設定: OS は Windows XP Professional。CVE 2010-2729 に対するパッチが適用済みですが、W32.Printlove に感染しています。ローカルまたは共有ネットワークプリンタは接続されていません。
コンピュータ B の設定: OS は Windows XP Professional。第 1 のシナリオではパッチが適用されておらず、第 2 のシナリオではパッチが適用済みです。共有ネットワークプリンタが接続されています。
コンピュータ A には、コンピュータ B での印刷ジョブを送信する権限が必要です。共有プリントサービスへのゲストアクセスは、Windows XP ではデフォルトで有効になっています。引き続きシステムを操作するために、コンピュータ A はコンピュータ B によって認証される必要があります。
2 つのシナリオにおける W32.Printlove の動作は、以下のとおりです。
- コンピュータ A で実行されている W32.Printlove が、ネットワーク上のプリンタリソースを検索します。プリンタリソースが見つかると、W32.Printlove は StartDocPrinter 要求を使ってコンピュータ B に自身を転送します。印刷スプーラの脆弱性があるため、印刷スプーラ経由で転送されたファイルは任意のディレクトリにコピーできてしまいます。この脆弱性を悪用して、W32.Printlove はコンピュータ B 上で自身の起動に成功します。図 1 が、第 1 のシナリオです。
図 1. 第 1 のシナリオ: リモートコードの実行
- コンピュータ A で実行されている W32.Printlove が、第 1 のシナリオと同じようにコンピュータ B に自身を転送します。コンピュータ B にはパッチが適用されているため、脆弱性は悪用されません。プリンタへの印刷要求をどのディレクトリに対しても許可しないように、脆弱性に対するパッチが適用されています。そのため W32.Printlove は、脆弱性を悪用してシステムディレクトリに自身をコピーし実行することができません。代わりに、コンピュータ B のスプーラディレクトリに、.spl ファイルとして保存されます(%System%\Spool\PRINTERS\[ランダムなファイル名].spl)。コンピュータ B は、共有プリンタでファイルの印刷を開始します。図 2 が、第 2 のシナリオです。
図 2. 第 2 のシナリオ: 印刷ジョブ
次の図 3 は、StartDocprinter 要求を利用してネットワーク上で自身を転送する W32.Printlove を示します。
図 3. 共有プリンタリソースに送信される exe ファイル
W32.Printlove は、リモートコンピュータへの接続を維持し、印刷スプーラの脆弱性を通じた感染を定期的に試みます。ネットワークからワームを完全に駆除しない限り、コンピュータが再感染したり、何度も文字化け印刷が実行されたりする恐れがあります。ネットワーク上に複数の感染が存在すると、文字化けする印刷ジョブの原因を突き止めるのはますます難しくなります。ネットワーク管理者は、プリンタを共有しているコンピュータの印刷スプーラディレクトリにある .shd ファイルを調べると、ネットワーク上で感染しているコンピュータを特定できます。このファイルは通常、以下の場所にあります。
%System%\Spool\PRINTERS\[ランダムなファイル名].shd
.shd ファイルは、OS によって作成されて印刷ジョブの詳細を保持するファイルで、SPLViewer というツールを使うと表示できます。.shd ファイルは印刷スプーラサービスによってロックされているので、ファイルにアクセスするにはサービスを停止する必要があります。[Computername]フィールドを調べると印刷ジョブの送信元が表示されているので(図 4)、ネットワーク上で感染したコンピュータを特定することができます。
図 4. ジョブファイルの送信元を示す SPLViewer
文字化け印刷は、CVE 2010-2729 に対するパッチが適用済みのホストが W32.Printlove による攻撃を受けたときの副作用です。シマンテック製品をお使いのお客様は、最新のウイルス定義によってこの脅威から保護されています。
注: Trojan.Milicenso と W32.Printlove の間には何らかの関係があると考えられますが、まだ確定には至っていません。2 つの脅威の関係を見きわめるために、シマンテックは調査を続行する予定です。
文字化けした印刷がどのようなものか関心がある場合には、こちらの画像をご覧ください。プリンタは、投下された実行可能ファイルのバイナリコードを忠実に印刷しようとします。Windows の実行可能ファイルの場合、いわゆる "MZ" ヘッダーの始まりを示す "MZ" というテキストで印刷が開始されます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。