黑客分发问题 Win10 ISO 镜像，通过 EFI 分区隐藏窃取加密货币

图片地址：https://img.ithome.com/newsuploadfiles/2023/6/c2409a8a-9af7-4278-8ad6-0f7c0614476a.jpg?x-bce-process=image/format,f_auto

IT之家 6 月 14 日消息，网络安全公司 Dr. Web 近日发布博文，希望用户不要通过非信任渠道，下载精简、盗版的 Win10 ISO 镜像。该机构近期发现有攻击者分发 Win10 ISO 镜像，并在 EFI（可扩展固件接口）分区中隐藏挖矿代码，可以躲避杀软的监测。IT之家注：EFI 分区是一个小型系统分区，其中包含在操作系统启动之前执行的引导加载程序和相关文件。主流杀软不会扫描 EFI 分区，因此恶意软件可以绕过恶意软件检测。这些恶意 Win10 ISO 镜像包含以下恶意应用：\Windows\Installer\iscsicli.exe (dropper)\Windows\Installer\recovery.exe (injector)\Windows\Installer\kd_08_5e78.dll (clipper)设备一旦感染之后就会监测进程资源管理器、任务管理器、进程监视器、进程等等，一旦发现剪贴板中的加密货