spoolsv.exe系統程式介紹(轉)

spoolsv.exe系統程式介紹(轉)[@more@]

　　[spoolsv.exe]

　　

　　程式檔案: spoolsv or spoolsv.exe

　　

　　程式名稱: Printer Spooler Service

　　

　　描　　述: Windows列印任務控制程式，用以印表機就緒。

　　

　　介　　紹：緩衝（spooler）服務是管理緩衝池中的列印和傳真作業。

　　

　　Spoolsv.exe→列印任務控制程式，一般會先載入以供列表機列印前的準備工作

　　

　　Spoolsv.exe，如果常增高，有可能是病毒感染所致

　　

　　目前常見的是:

　　

　　Backdoor/Byshell(又叫隱形大盜、隱形殺手、西門慶病毒)

　　

　　危害程度:中

　　

　　受影響的系統: Windows 2000， Windows XP， Windows Server 2003

　　

　　未受影響的系統: Windows 95， Windows 98， Windows Me， Windows NT， Windows 3.x， Macintosh， Unix， Linux

　　

　　病毒危害:

　　

　　1. 生成病毒檔案

　　

　　2. 插入正常系統檔案中

　　

　　3. 修改系統登錄檔

　　

　　4. 可被駭客遠端控制

　　

　　5. 躲避反病毒軟體的查殺

　　

　　簡單的後門木馬，發作會刪除自身程式，但將自身程式套入可執行程式內(如:exe)，並與計算機的通口(TCP埠138)掛鉤，監控計算機的資訊、密碼，甚至是鍵盤操作，作為回傳的資訊，並不時驅動埠，以等候傳進的命令，由於該木馬不能判別何者是正確的埠，所以負責輸出的列表機也是其驅動物件，以致Spoolsv.exe的使用異常頻繁......

　　

　　Backdoor.Win32.Plutor

　　

　　破壞方法:感染PE檔案的後門程式

　　

　　病毒採用VC編寫。

　　

　　病毒執行後有以下行為:

　　

　　1、將病毒檔案複製到%WINDIR%目錄下，檔名為"；Spoolsv.exe"；，並該病毒檔案執行。"；Spoolsv.exe"；檔案執行後釋放檔名為"；mscheck.exe"；的檔案到%SYSDIR%目錄下，該檔案的主要功能是每次啟用時執行"；Spoolsv.exe"；檔案。如果所執行的檔案是感染了正常檔案的病毒檔案，病毒將會把該檔案恢復並將其執行。

　　

　　2、修改登錄檔以下鍵值:

　　

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

　　

　　增加資料項:"；Microsoft Script Checker"； 資料為:"；MSCHECK.EXE /START"；

　　

　　修改該項登錄檔使"；MSCHECK.EXE"；檔案每次系統啟用時都將被執行，而"；MSCHECK.EXE"；用於執行"；Spoolsv.exe"；檔案，從而達到病毒自啟用的目的。

　　

　　3、建立一個執行緒用於感染C盤下的PE檔案，但是檔案路徑中包含"；winnt"；、"；Windows"；字串的檔案不感染。另外，該病毒還會列舉區域網中的共享目錄並試圖對這些目錄下的檔案進行感染。該病毒感染檔案方法比較簡單，將正常檔案的前0x16000個位元組替換為病毒檔案中的資料，並將原來0x16000個位元組的資料插入所感染的檔案尾部。

　　

　　4、試圖與區域網內名為"；admin"；的郵槽聯絡，建立名為"；client"；的郵槽用於接收其控制端所傳送的命令，為其控制端提供以下遠端控制服務:

　　

　　顯示或隱藏指定視窗、螢幕擷取、控制CDROM、關閉計算器、登出、破壞硬碟資料。