Пример «мусорной» распечатки

Этот вредоносный код использует уязвимость Microsoft Windows Print Spooler Service Remote Code Execution, которая была обнаружена еще в 2010 году.

Поведение сетевого червя различается в зависимости от наличия установленного на ПК обновления, закрывающего уязвимость.

В случае отсутствия последнего на компьютерах сети, W32.Printlove, работающий на зараженном ПК, пересылает себя на другие компьютеры, используя запрос StartDocPrinter, позволяющий скопировать в любую папку какой угодно файл. В результате вирус успешно запускается на других ПК.

В другом случае, когда необходимое обновление установлено, червь не смоет скопировать себя в системный каталог и запуститься на удаленном ПК. Вместо этого он сохраняется в виде .spl-файла, и этот компьютер начинает печать данного файла на подключенном общедоступном принтере.

Специалисты Symantec рекомендуют администраторам, столкнувшимся с заражением W32.Printlove, просматривать .shd-файлы, расположенные в папке буфера печати на компьютере, подключенном к общедоступному принтеру. Они содержат детальную информацию о запросе на печать, в том числе имя компьютера, отправившего задание.