打印机安全：贸易战下，国内出口海外价值5万一台的打印机竟被植入驱动蠕虫病毒

国内某品牌UV打印机，畅销海外，价值7000美元（约合人民币5万）一台，竟被海外用户发现软件中植入远程蠕虫病毒，可用于安装各种恶意软件，主要用于窃取比特币，甚至安装windows后门！

正值关税战硝烟四起之时，低级错误致授人以柄，实不应该！

如何被发现？

国外用户Serial Hobbyism是一位在国外视频网站Youtube上做各种DIY设备的博主，他采购了一台该品牌的UV打印机，但在托管网站上下载驱动，安装在自己的电脑上，被杀毒软件警告，驱动含有Floxif病毒。

Floxif病毒由来已久，这是一种会暴力感染用户电脑exe和dll文件的病毒，甚至可以对抗研究人员的静态检测和动态调试，痼疾难痊！

Floxif病毒传播方式：

附着在合法程序中：Floxif 被发现伪装在被篡改的 CCleaner 安装程序中。用户在不知情的情况下下载并安装了带有 Floxif 的 CCleaner。

软件供应链攻击：通过攻击 Piriform（CCleaner 开发商）的编译服务器，使得官方发布的安装包携带了恶意代码。

如何被植入？

根据外网bleepingcomputer和pcmag的报道，该公司工作人员是通过被病毒感染的U盘，拷贝了驱动文件，导致驱动文件被感染，然后，该驱动文件被上传至托管网站供用户下载。

打印机驱动文件的主要功能是实现操作系统与打印机硬件之间的通信与控制，确保计算机发出的打印命令能够被打印机正确识别和执行。主流厂商的驱动文件一般都是使用C/C++作为核心开发语言。

国外安全人员检查该驱动发现，一共有39个文件被感染，感染的病毒包括：

XRedRAT – eSentire 先前分析过的已知恶意软件。其功能包括键盘记录、屏幕截图、远程 Shell 访问和文件操作。硬编码的 C2 URL 与旧样本匹配。

SnipVex – 一款此前未记录的剪贴板恶意软件，它会感染 .EXE 文件，附加到这些文件中，并替换剪贴板中的 BTC 地址。在多个下载文件中检测到。可能感染了 Procolored 开发者系统或构建机器。例程如下图所示：

根据记录，该驱动下载已经存在了近6个月。目前，该国内公司已经通过技术手段彻底清查了所有文件，并更新了下载内容。文件已经过国外用户确认，再无此类病毒。

提醒！

虽然此次事件是UV打印机，但驱动程序和普通喷墨及激光打印机类似。因此，该事件也给国内的打印机厂商敲响了警钟，打印机厂商在开发和发布驱动程序时，必须高度重视软件供应链安全，防止驱动被植入病毒、恶意代码或成为攻击入口。在软件开发的各个阶段都要做好安全措施，确保软件安全！