spoolsv.exe（spoolsv）

大家好，小杨来为大家解答以上问题，spoolsv.exe，spoolsv很多人还不知道，现在让我们一起来看看吧！

1、Process Name: Printer Spooler Service

2、描述：用于打印机就绪的Windows打印任务控制程序。

3、简介：假脱机服务用于管理缓冲池中的打印和传真作业。

4、Spoolsv.exe打印任务控制程序通常是打印机在打印前首先加载的准备工作。如果Spoolsv.exe经常增加，可能是由病毒感染引起的。

5、目前，常见的是：

6、后门/Byshell(又名隐形贼、隐形杀手、西门庆病毒)

7、危险程度：中等。

8、受影响的系统：Windows 2000、Windows XP、Windows Server 2003

9、病毒危害：

10、1.生成病毒文件

11、2.插入到正常系统文件中

12、3.修改系统注册表

13、4.它可以被黑客远程控制。

14、5.避免杀毒软件。

15、简单的后门木马在攻击时会删除自己的程序，而是把自己的程序放入一个可执行程序(如exe)中，并与电脑的端口(TCP端口138)挂钩，监控电脑的信息、密码甚至键盘操作，并不时驱动端口作为返回的信息。

16、为了等待传入的命令，因为木马分不清哪个是正确的端口，所以负责输出的列表机也是它的驱动对象，以至于Spoolsv.exe的使用非常频繁。

17、Backdoor.Win32.Plutor

18、破坏方法：后门程序感染PE文件，病毒用VC编写。

19、病毒运行后有以下行为：

20、将病毒文件复制到%WINDIR%目录，文件名为；spoolsv . exe '病毒文件就会运行。

21、；spoolsv . exe '文件运行后释放的文件名为'mscheck . exe '到%SYSDIR%目录，这个文件的主要功能是每次激活时运行；spoolsv . exe '文件。

22、如果正在运行的文件是感染了正常文件的病毒文件，病毒将恢复该文件并运行它。

23、修改注册表以下键值：

24、HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

25、增加数据项：\';Microsoft Script Checker\'; 数据为：\';MSCHECK.EXE /START\';

26、修改该项注册表使\';MSCHECK.EXE\';文件每次系统激活时都将被运行，而\';MSCHECK.EXE\';用于运行\';Spoolsv.exe\';文件，从而达到病毒自激活的目的。

27、创建一个线程用于感染C盘下的PE文件，但是文件路径中包含\';winnt\';\';Windows\';字符串的文件不感染。另外，该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。

28、该病毒感染文件方法比较简单，将正常文件的前0x16000个字节替换为病毒文件中的数据，并将原来0x16000个字节的数据插入所感染的文件尾部。

29、试图与局域网内名为\';admin\';的邮槽联系，创建名为\';client\';的邮槽用于接收其控制端所发送的命令，为其控制端提供以下远程控制服务：

30、显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。

本文到此结束，希望对大家有所帮助。