當前位置：首頁 > 科技數(shù)碼

spoolsv spoolsv.exe spoolsv.exe進程是什么有什么用

2020-11-29 11:45:45 科技數(shù)碼

　　進程文件: spoolsv or spoolsv.exe

　　進程名稱: Printer Spooler Service

　　描　　述:　Windows打印任務控制程序，用以打印機就緒。

　　介　　紹：緩沖(spooler)服務是管理緩沖池中的打印和傳真作業(yè)。

　　Spoolsv.exe→打印任務控制程序，一般會先加載以供列表機打印前的準備工作，Spoolsv.exe，如果常增高，有可能是病毒感染所致

　　目前常見的是:

　　Backdoor/Byshell(又叫隱形大盜、隱形殺手、西門慶病毒)

　　危害程度:中

　　受影響的系統(tǒng): Windows 2000， Windows XP， Windows Server 2003

　　病毒危害:

　　1. 生成病毒文件

　　2. 插入正常系統(tǒng)文件中

　　3. 修改系統(tǒng)注冊表

　　4. 可被黑客遠程控制

　　5. 躲避反病毒軟件的查殺

　　簡單的后門木馬，發(fā)作會刪除自身程序，但將自身程序套入可執(zhí)行程序內(nèi)(如:exe)，并與計算機的通口(TCP端口138)掛鉤，監(jiān)控計算機的信息、密碼，甚至是鍵盤操作，作為回傳的信息，并不時驅(qū)動端口，以等候傳進的命令，由于該木馬不能判別何者是正確的端口，所以負責輸出的列表機也是其驅(qū)動對象，以致Spoolsv.exe的使用異常頻繁。

　　Backdoor.Win32.Plutor

　　破壞方法:感染PE文件的后門程序，病毒采用VC編寫。

　　病毒運行后有以下行為:

　　1、將病毒文件復制到%WINDIR%目錄下，文件名為";Spoolsv.exe";，并該病毒文件運行。";Spoolsv.exe";文件運行后釋放文件名為";mscheck.exe";的文件到%SYSDIR%目錄下，該文件的主要功能是每次激活時運行";Spoolsv.exe";文件。如果所運行的文件是感染了正常文件的病毒文件，病毒將會把該文件恢復并將其運行。

　　2、修改注冊表以下鍵值:

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

　　增加數(shù)據(jù)項:";Microsoft Script Checker"; 數(shù)據(jù)為:";MSCHECK.EXE /START";

　　修改該項注冊表使";MSCHECK.EXE";文件每次系統(tǒng)激活時都將被運行，而";MSCHECK.EXE";用于運行";Spoolsv.exe";文件，從而達到病毒自激活的目的。

　　3、創(chuàng)建一個線程用于感染C盤下的PE文件，但是文件路徑中包含";winnt";、";Windows";字符串的文件不感染。另外，該病毒還會枚舉局域網(wǎng)中的共享目錄并試圖對這些目錄下的文件進行感染。該病毒感染文件方法比較簡單，將正常文件的前0x16000個字節(jié)替換為病毒文件中的數(shù)據(jù)，并將原來0x16000個字節(jié)的數(shù)據(jù)插入所感染的文件尾部。

　　4、試圖與局域網(wǎng)內(nèi)名為";admin";的郵槽聯(lián)系，創(chuàng)建名為";client";的郵槽用于接收其控制端所發(fā)送的命令，為其控制端提供以下遠程控制服務:

　　顯示或隱藏指定窗口、屏幕截取、控制CDROM、關(guān)閉計算器、注銷、破壞硬盤數(shù)據(jù)。

1.《spoolsv spoolsv.exe spoolsv.exe進程是什么有什么用》援引自互聯(lián)網(wǎng)，旨在傳遞更多網(wǎng)絡信息知識，僅代表作者本人觀點，與本網(wǎng)站無關(guān)，侵刪請聯(lián)系頁腳下方聯(lián)系方式。

2.《spoolsv spoolsv.exe spoolsv.exe進程是什么有什么用》僅供讀者參考，本網(wǎng)站未對該內(nèi)容進行證實，對其原創(chuàng)性、真實性、完整性、及時性不作任何保證。

3.文章轉(zhuǎn)載時請保留本站內(nèi)容來源地址，http://f99ss.com/keji/465700.html