IT之家 6 月 14 日消息，网络安全公司 Dr. Web 近日发布博文，希望用户不要通过非信任渠道，下载精简、盗版的 Win10 ISO 镜像。

该机构近期发现有攻击者分发 Win10 ISO 镜像，并在 EFI（可扩展固件接口）分区中隐藏挖矿代码，可以躲避杀软的监测。

广告可御可甜 有颜有料 惩罚整蛊任你选 >>进入直播间与主播亲密互动×IT之家注：EFI 分区是一个小型系统分区，其中包含在操作系统启动之前执行的引导加载程序和相关文件主流杀软不会扫描 EFI 分区，因此恶意软件可以绕过恶意软件检测。

这些恶意 Win10 ISO 镜像包含以下恶意应用：WindowsInstalleriscsicli.exe (dropper)WindowsInstaller ecovery.exe (injector)

WindowsInstallerkd_08_5e78.dll (clipper)设备一旦感染之后就会监测进程资源管理器、任务管理器、进程监视器、进程等等，一旦发现剪贴板中的加密货币钱包地址，就会立即替换为攻击者预设的地址。

Dr. Web 表示调查重定向的加密钱包地址，发现该钱包账号上至少有价值 19000 美元（IT之家备注：当前约 13.6 万元人民币）的加密货币该机构罗列了几个问题 Win10 ISO 镜像，不过表示实际分发的问题镜像还有很多：。

Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.isoWindows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik

RU.isoWindows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.isoWindows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso

Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso