PANews 6月14日消息,據IT之家報導,網絡安全公司Dr. Web 近日發布博文表示,希望用戶不要通過非信任渠道,下載精簡、盜版的Win10 ISO 鏡像。該機構近期發現有攻擊者分發Win10 ISO 鏡像,並在EFI(可擴展固件接口)分區中隱藏挖礦代碼,可以躲避殺軟的監測。 (注:EFI 分區是一個小型系統分區,其中包含在操作系統啟動之前執行的引導加載程序和相關文件。)
這些惡意Win10 ISO 鏡像包含以下惡意應用:
\Windows\Installer\iscsicli.exe(dropper)
\Windows\Installer\recovery.exe(injector)
\Windows\Installer\kd_08_5e78.dll(clipper)
設備一旦感染之後就會監測進程資源管理器、任務管理器、進程監視器、進程等,一旦發現剪貼板中的加密貨幣錢包地址,就會立即替換為攻擊者預設的地址。 Dr. Web 表示調查重定向的加密錢包地址,發現該錢包賬號上至少有價值19000 美元的加密貨幣。