打印機安全：貿易戰下，國內出口海外價值5萬一台的打印機竟被植入驅動蠕蟲病毒_風聞

國內某品牌UV打印機，暢銷海外，價值7000美元（約合人民幣5萬）一台，竟被海外用户發現軟件中植入遠程蠕蟲病毒，可用於安裝各種惡意軟件，主要用於竊取比特幣，甚至安裝windows後門！

正值關税戰硝煙四起之時，低級錯誤致授人以柄，實不應該！

如何被發現？

國外用户Serial Hobbyism是一位在國外視頻網站Youtube上做各種DIY設備的博主，他採購了一台該品牌的UV打印機，但在託管網站上下載驅動，安裝在自己的電腦上，被殺毒軟件警告，驅動含有Floxif病毒。

Floxif病毒由來已久，這是一種會暴力感染用户電腦exe和dll文件的病毒，甚至可以對抗研究人員的靜態檢測和動態調試，痼疾難痊！

Floxif病毒傳播方式：

附着在合法程序中：Floxif 被發現偽裝在被篡改的 CCleaner 安裝程序中。用户在不知情的情況下下載並安裝了帶有 Floxif 的 CCleaner。

軟件供應鏈攻擊：通過攻擊 Piriform（CCleaner 開發商）的編譯服務器，使得官方發佈的安裝包攜帶了惡意代碼。

如何被植入？

根據外網bleepingcomputer和pcmag的報道，該公司工作人員是通過被病毒感染的U盤，拷貝了驅動文件，導致驅動文件被感染，然後，該驅動文件被上傳至託管網站供用户下載。

打印機驅動文件的主要功能是實現操作系統與打印機硬件之間的通信與控制，確保計算機發出的打印命令能夠被打印機正確識別和執行。主流廠商的驅動文件一般都是使用C/C++作為核心開發語言。

國外安全人員檢查該驅動發現，一共有39個文件被感染，感染的病毒包括：

XRedRAT – eSentire 先前分析過的已知惡意軟件。其功能包括鍵盤記錄、屏幕截圖、遠程 Shell 訪問和文件操作。硬編碼的 C2 URL 與舊樣本匹配。

SnipVex – 一款此前未記錄的剪貼板惡意軟件，它會感染 .EXE 文件，附加到這些文件中，並替換剪貼板中的 BTC 地址。在多個下載文件中檢測到。可能感染了 Procolored 開發者系統或構建機器。例程如下圖所示：

根據記錄，該驅動下載已經存在了近6個月。目前，該國內公司已經通過技術手段徹底清查了所有文件，並更新了下載內容。文件已經過國外用户確認，再無此類病毒。

提醒！

雖然此次事件是UV打印機，但驅動程序和普通噴墨及激光打印機類似。因此，該事件也給國內的打印機廠商敲響了警鐘，打印機廠商在開發和發佈驅動程序時，必須高度重視軟件供應鏈安全，防止驅動被植入病毒、惡意代碼或成為攻擊入口。在軟件開發的各個階段都要做好安全措施，確保軟件安全！