국내에서 운영 중인 EPSON, CANON 한국 총판 지정 업체로 소개된 모 웹 사이트의 "EPSON 컬러 라벨 프린터 TM-C3400" 모델 제품의 드라이버 파일에 3년 동안이나 악성 파일이 포함된 상태로 배포가 이루어지고 있는 것을 확인하였습니다.
문제의 웹 사이트 드라이버 자료실에 등록된 TM-C3400 모델 드라이버 파일은 운영 체제(OS)별로 파일을 제공하고 있으며, 해당 파일들은 모두 동일한 zip 압축 파일로 다운로드되는 통합 드라이버 파일로 보입니다.
드라이버 파일을 다운로드해보면 Internet Explorer 웹 브라우저에서 제공하는 SmartScreen 필터 기능을 통해 1차적으로 차단되는 것을 확인할 수 있습니다.
다운로드된 압축 파일 자체를 AhnLab V3 Lite 3.0 제품으로 검사를 해보면 Win-Trojan/OnlinegameHack6.Gen.R58 진단명으로 진단되는 것을 확인할 수 있습니다.
진단된 압축 파일 내부를 확인해보면 온라인 게임핵(OnlineGameHack) 악성코드에서 많이 사용하는 Usp10.dll 악성 파일이 다수 발견되고 있습니다.
재미있는 부분은 해당 압축 파일 제작이 2010년 7월 17일 00시에 생성되었는데, 확인을 해보니 공교롭게도 토요일 자정이며 이는 주말을 이용한 온라인 게임핵 악성코드에 감염된 PC에서 드라이버 파일을 압축하는 과정에서 Usp10.dll 악성 파일이 함께 포함된 것으로 추정됩니다.
- Usp10.dll (MD5 : b8698923d8b22ca2481ffa4e8badc624) - AhnLab V3 : Win-Trojan/OnlinegameHack6.Gen (VT : 41/47)
- Usp10.dll (MD5 : ae88327fd057d3f56e8a5ece3f9a21b5) - AhnLab V3 : Win-Trojan/OnlinegameHack6.Gen (VT : 41/46)
압축 파일 내부에서는 총 4개의 Usp10.dll 악성 파일이 발견되고 있으며, 그 중에서 2종의 변종 파일이 확인되었으며 모두 2010년 7월경에 최초 보고된 파일입니다.
▷ 대덕연구개발특구 홈 페이지에 등록된 바이러스 감염 뷰어 프로그램 주의 (2012.4.6)
예전에 소개한 웹 사이트에 등록된 문서 뷰어 프로그램의 경우에도 등록자 PC가 Win32.Parite.B 바이러스에 감염된 상태에서 파일을 업로드하여 전파가 이루어진 사례가 있듯이, 웹 사이트에 파일을 업로드 하는 PC 관리를 잘못할 경우에는 이처럼 자신도 모르게 악성 파일이 함께 포함될 수 있습니다.
실제 해당 드라이버 파일을 다운로드하여 설치 과정에서 시스템 감염을 유발하는 전파 행위는 발생하지 않지만, 악성 파일을 포함한 드라이버 파일을 장기간에 걸쳐 다운로드 서비스를 하고 있다는 것은 문제가 있습니다.