(相關(guān)資料圖)

IT之家 6 月 14 日消息，網(wǎng)絡(luò)安全公司 Dr. Web 近日發(fā)布博文，希望用戶不要通過非信任渠道，下載精簡、盜版的 Win10 ISO 鏡像。

該機構(gòu)近期發(fā)現(xiàn)有攻擊者分發(fā) Win10 ISO 鏡像，并在 EFI（可擴展固件接口）分區(qū)中隱藏挖礦代碼，可以躲避殺軟的監(jiān)測。

IT之家注：EFI 分區(qū)是一個小型系統(tǒng)分區(qū)，其中包含在操作系統(tǒng)啟動之前執(zhí)行的引導(dǎo)加載程序和相關(guān)文件。主流殺軟不會掃描 EFI 分區(qū)，因此惡意軟件可以繞過惡意軟件檢測。

這些惡意 Win10 ISO 鏡像包含以下惡意應(yīng)用：

\Windows\Installer\iscsicli.exe (dropper) \Windows\Installer\recovery.exe (injector) \Windows\Installer\kd_08_5e78.dll (clipper)

設(shè)備一旦感染之后就會監(jiān)測進程資源管理器、任務(wù)管理器、進程監(jiān)視器、進程等等，一旦發(fā)現(xiàn)剪貼板中的加密貨幣錢包地址，就會立即替換為攻擊者預(yù)設(shè)的地址。

Dr. Web 表示調(diào)查重定向的加密錢包地址，發(fā)現(xiàn)該錢包賬號上至少有價值 19000 美元（IT之家備注：當(dāng)前約 13.6 萬元人民幣）的加密貨幣。

該機構(gòu)羅列了幾個問題 Win10 ISO 鏡像，不過表示實際分發(fā)的問題鏡像還有很多：

標簽：