6 月 14 日消息，網(wǎng)絡安全公司 Dr. Web 近日發(fā)布博文，希望用戶不要通過非信任渠道，下載精簡、盜版的 Win10 ISO 鏡像。

該機構近期發(fā)現(xiàn)有攻擊者分發(fā) Win10 ISO 鏡像，并在 EFI（可擴展固件接口）分區(qū)中隱藏挖礦代碼，可以躲避殺軟的監(jiān)測。

IT之家注：EFI 分區(qū)是一個小型系統(tǒng)分區(qū)，其中包含在操作系統(tǒng)啟動之前執(zhí)行的引導加載程序和相關文件。主流殺軟不會掃描 EFI 分區(qū)，因此惡意軟件可以繞過惡意軟件檢測。

這些惡意 Win10 ISO 鏡像包含以下惡意應用：

• \Windows\Installer\iscsicli.exe
• \Windows\Installer\recovery.exe
• \Windows\Installer\kd_08_5e78.dll

設備一旦感染之后就會監(jiān)測進程資源管理器、任務管理器、進程監(jiān)視器、進程等等，一旦發(fā)現(xiàn)剪貼板中的加密貨幣錢包地址，就會立即替換為攻擊者預設的地址。

Dr. Web 表示調(diào)查重定向的加密錢包地址，發(fā)現(xiàn)該錢包賬號上至少有價值 19000 美元（IT之家備注：當前約 13.6 萬元人民幣）的加密貨幣。

該機構羅列了幾個問題 Win10 ISO 鏡像，不過表示實際分發(fā)的問題鏡像還有很多：

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso