盗版 Windows ISO 正在传播……内嵌恶意软件

多个盗版Windows 10版本以torrent格式流传，这并不是一个新现象。最近，许多ISO（磁盘映像）被检测到分区中嵌入了恶意软件，导致检测困难。

黑客网络发现了一种不可阻挡的伎俩来分发盗版操作系统。该恶意软件直接集成到 EFI（可扩展固件接口）分区中。这种方法可以让它悄悄地躲避传统的防病毒扫描。事实上，EFI 分区并没有被他们系统地扫描。

EFI，恶意软件的正确藏身处

EFI 分区对于 UEFI（统一可扩展固件接口）系统的正常运行至关重要。它包含所有启动文件和加载操作系统所需的信息。它是UEFI 兼容计算机（即市场上 80% 的计算机）启动过程和外围设备管理的基石。得益于更现代、更灵活的界面，与传统 BIOS 相比，它可以更轻松地启动系统。

因此，黑客利用这个分区作为他们恶意小兽的存储空间。完全清楚传统的防病毒软件通常不会扫描该分区，因此他们有足够的时间溜进他们想要的东西。

堪比萨姆·费舍尔的渗透

Dr. Web研究人员发现的各种受感染 ISO包含直接嵌入系统目录中的可疑文件，例如：

\Windows\Installer\iscsccli.exe（分发文件）

\Windows\Installer\recovery.exe（注入器文件）

\Windows\Installer\kd_08_5e78.dll（劫持者文件）

如果从具有此配置文件的 ISO 启动安装，则会对计划任务进行编程。这将启动分发器，它将 EFI 分区配置为“M:\”驱动器。然后注入器接管并将两个文件 kd_08_5e78.dll 复制到“C:\”驱动器。然后，劫持者文件开始扫描电脑中的加密货币钱包。简单来说，就是通过这三个文件的共同作用，黑客可以通过所有的安全系统，闲暇时来使用钱包。简而言之，这是一次顺利的抢劫。