Mau funcionamento da impressora HP (Vírus?)

2

Estou tendo sérios problemas com várias impressoras HP.

O problema é o seguinte: minha impressora (modelos diferentes) imprime caracteres ASCII aleatórios na primeira linha de um papel (amostra de imagem: link ) e imprime vários trabalhos (mais de 50)

E aqui outra captura de tela da fila de impressão: link os primeiros 2 são os ascii "print".

O problema é apresentar-se em diferentes modelos de impressoras (mas apenas HP) e em organização diferente, com alguns dados pessoais em comum, mas sem conexão entre os dois. O edifício está a quilômetros de distância. Eu suspeito que algum usuário espalhou o vírus via chaves USB.

Eu executo uma verificação completa do sistema com vários antivírus sem resultado. Estou atualizando firmware de impressoras, se disponível, como falamos.

Considere isso:

- All models seems to be vulnerable: Laser and InkJet
- Antivirus can't find anything
- Driver and firmware are updated to the latest version
- The printer function properly but every 1 or 2 prints starts printing ascii character
- The client are Windows XP 32Bit and Windows 7 64Bit
- Printers are all in the same Subnet and VLAN there's direct connectivity from clients to printer with stable ping. I ruled out network issues

Alguns modelos de impressoras afetaram o HP P2055dn, o HP2015dn

Minha organização tem mais de 15 impressoras e mais de 80 clientes. Se necessário, eu preciso de uma solução implantável.

O que eu posso fazer?

Obrigado antecipadamente!

    
por eldblz 08.06.2012 / 09:57

4 respostas

1

Até o momento, encontrei esses relatórios, além do post do Diário do SANS ISC:

link

  • Ver post de "kinggeorge" em 08 de junho de 2012 às 07:01 AM página 2: "... Apenas no Windows 7, encontramos uma tarefa agendada (oculta), que usava o rundll32.exe com um arquivo dll gerado aleatoriamente em c: \ windows \ system32 ..."

link

  • O post # 14 de "mrussell77" em 8 de junho de 2012 08:02 confirma as chaves de registro relatadas nos comentários do diário da SANS.
  • A postagem # 15 de "scorpy" em 8 de junho de 2012 7:58 menciona a tarefa agendada.
por 08.06.2012 / 15:28
2

Eu vi esse problema exato ao usar o driver de impressora universal da HP. aparentemente, este é um problema conhecido com isso. o problema é causado por configurações de diferentes versões do driver não serem compatíveis.

por exemplo:

  1. printerA do server1 é instalado em computadores clientes usando a versão universal da HP 5.3
  2. printerA é usada pelos clientes
  3. algum tempo depois, a impressora B do servidor2 é instalada nesses mesmos computadores usando a versão universal HP 5.4, atualizando os drivers para todos e fazendo com que esses clientes agora usem a versão 5.4 para printerA
  4. printerA agora imprime sem sentido porque o driver da versão 5.4 não entende algumas configurações armazenadas pelo driver 5.3

No nosso caso, mesmo a atualização do driver da impressora em um único servidor também causou esse problema. mas o cenário acima foi como descobrimos o problema para começar.

solução:

verifique se o HP Universal Print Driver usado é consistente em toda a organização.

no meu caso, para esclarecer os erros remanescentes, tive que excluir e recriar as impressoras nos servidores de impressão para eliminar as configurações antigas que estavam causando problemas. essas configurações foram enviadas aos clientes, eliminando o problema. algumas crianças problemáticas foram corrigidas excluindo e adicionando novamente as impressoras nesses clientes.

    
por 08.06.2012 / 16:57
1

Este não é um vírus, isso é corrupção de driver.

  • Desinstale a impressora.
  • Remover todos os vestígios do driver
  • Reinstale a impressora e o driver correto .
  • TESTE.

Isso deve resolver seu problema.

    
por 08.06.2012 / 10:02
1

Eu diria driver / spools corrompidos devido a atualização. Mas então eu acabei de ler isso em SANS :

There have been several reports now of PCs on the network printing what looks like an executable to a large number of printers. Several scanning tools will cause this kind of behaviour, but in the instances I know of these tools were not being used on the network at the time. The various AV products aren't great at picking this up, yet.

If you have this happen in your network use your logs to determine the sending machine (will be in the print logs) and take it offline for investigation and re-imaging. If you happen to have the actual malware upload it via the contact form and make our malware guys and gals happy.

Mark

    
por 08.06.2012 / 13:29