Malware als Druckerbombe

Was in Symantecs Security Response Blog scherzhaft als der Traum jedes Papierhändlers bezeichnet wird, dürfte eher der Albtraum der IT-Abteilung sein. Auf den Netzwerkdruckern werden Stapel bedruckten Papiers generiert, deren Inhalt nur aus offenbar sinnfreien Zeichenfolgen besteht. Dabei handelt es sich um binäre Dateiinhalte, die zudem verschlüsselt sind.

Ursache des Phänomens ist ein Trojanisches Pferd namens “Trojan.Milicenso”, das sowohl als Mail-Anhang als auch über Drive-by Downloads über präparierte Websites verbreitet wird. Hauptverbreitungsgebiete sind nach Symantec-Angaben die USA und Indien, jedoch sind auch größere Kontingente nach Deutschland, Polen und Großbritannien sowie nach Brasilien und Peru gelangt. Die Aufgabe des bereits seit 2010 bekannten Schädlings ist es weitere Malware auf den Rechner zu laden.

Der Schädling Trojan.Milicenso speichert eine Programmdatei eines durch ihn eingeschleusten Adware-Programms als SPL-Datei in einem Verzeichnis, dessen Pfad und Name demjenigen ähnelt, das Windows normalerweise für Druckaufträge nutzt. Der Dateiname ist beliebig und die Dateiendung SPL (Spooler, hier: Warteschlange) wird durch Windows als Druckauftrag interpretiert. So kann es je nach Konfiguration passieren, dass diese Dateien an angeschlossene Drucker geschickt werden.

Da Trojan.Milicenso seit zwei Jahren bekannt ist, wird er eigentlich auch durch Antivirusprogramme erkannt. Doch die Online-Kriminellen, die den Schädling als Vehikel für andere Malware benutzen, haben seine Programmdatei durch Anfügen sinnfreien Datenmülls soweit modifiziert, dass er erstmal nicht mehr erkannt wird. Er verrät sich allerdings durch Stapel bedruckten Papiers. Das ist jedenfalls eine gute Gelegenheit die Konfiguration der Netzwerkdrucker im Unternehmen auf ihre Sicherheit und Zweckmäßigkeit zu überprüfen. Vor fast zehn Jahren hat schon einmal ein Wurm namens “Bugbear” durch unbeabsichtigte Großaufträge an dienstbereite Drucker auf sich aufmerksam gemacht.