IT之家6月14日消息,网络安全公司Dr.Web近日发布博文,希望用户不要通过不受信任的渠道下载精简盗版的Win10 ISO镜像。
该机构近期发现,攻击者分发Win10 ISO镜像,并将挖矿代码隐藏在EFI( )分区中,以躲避杀毒软件的检测。
IT之家注:EFI 分区是一个小型系统分区,包含操作系统启动前执行的引导加载程序和相关文件。 主要的防病毒软件不扫描 EFI 分区,因此恶意软件可以绕过恶意软件检测。
这些恶意 Win10 ISO 映百思特网像包含以下恶意应用程序:
一旦设备被感染,它会监控进程资源管理器、任务管理器、进程监视器、进程等,一旦发现剪贴板中的加密货币钱包地址,就会立即替换为攻击者预设的地址。
韦伯博士称,他调查了重定向的加密钱包地址,发现该钱包账户至少有价值19000美元的加密百思特网货币(IT之家注:目前约元)。
该机构列出了几个有问百思特网题的 Win10 ISO 映像,但表示实际分发的问题映像还有很多: