更新时间:2024-11-04 06:02:49
由于软件对硬件的严格要求,对于许多现有计算机来说,安装Windows11并不容易。这导致许多Windows10用户寻找避开此类障碍的解决方法。
但要小心,因为一个假定的Windows11安装程序实际上是RedLine窃取程序,这是一种众所周知的信息窃取恶意软件,它会感染您的Web浏览器并窃取您的密码、信用卡号、登录会话令牌甚至加密货币令牌.(RedLine是您不应该让浏览器保存密码的几个原因之一。)
惠普恶意软件分析师PatrickSchläpfer昨天(2月8日)在惠普官方博客文章中报告说,该恶意软件是从windows-upgraded[.]com网站分发的。惠普在1月27日注意到了这个虚假网站,就在微软宣布Windows11可以免费下载所有符合条件的设备的第二天。
Schläpfer写道:“这次活动再次凸显了攻击者如何迅速利用重要、相关和有趣的时事来制造有效的诱饵。”“对于威胁参与者来说,重要的公告和事件总是很有趣的话题,可以被利用来传播恶意软件。”
该网站看起来就像一个官方的微软网站,一直到操作系统制造商的标志、网站布局和极简主义的设计美学。“获取Windows11”被显着显示,下方是一个按钮,上面写着“立即下载”。
Schläpfer说,如果您单击该按钮,您将访问Discord存储服务器并下载一个名为Windows11InstallationAssistant.zip的1.5MB压缩文件。Schläpfer指出,解压后,该文件扩展至高达753MB——压缩率高达99.8%。
事实证明,很多751MB的主文件Windows11InstallationAssistant.exe只是由重复的零组成的填充,因此具有极高的压缩比。为什么需要这么多的填充?
“攻击者可能会插入这样一个填充区域,使文件变得非常大,”Schläpfer写道,“这种大小的文件可能不会被防病毒软件和其他扫描控件扫描,从而增加了文件被不受阻碍地执行并安装恶意软件。”
如果你运行Windows11InstallationAssistant.exe,你会得到一个持续21秒的命令行操作,然后下载一个名为win11.jpg的看起来像JPEG文件的文件。
听起来无害,对吧?不完全——如果你向后阅读JPEG的代码,你会得到一个动态链接库(DLL)文件,其中包含RedLine信息窃取程序,当你在你的PC上运行所谓的“安装助手”时,一个有效载荷会落在你的腿上。
RedLine“收集有关当前执行环境的各种信息,例如用户名、计算机名称、安装的软件和硬件信息,”Schläpfer解释说。“该恶意软件还会从网络浏览器中窃取存储的密码、信用卡信息等自动完成数据,以及加密货币文件和钱包。”
即使windows-upgraded[.]com站点不再可用,骗子很容易在不同的域再次尝试,甚至使用不同的诱饵。事实上,Schläpfer指出,同样的坏人似乎在去年12月发起了一次非常相似的活动,该活动使用虚假的Discord安装程序网站分发RedLine。
为了保护自己免受RedLine和其他形式的恶意软件的侵害,请检查您从中下载软件的每个站点的URL(网址),并在打开之前通过防病毒扫描程序运行每个安装程序文件。(大多数最好的Windows防病毒程序都可以识别RedLine。)
并使用常识-一个域名中没有“microsoft.com”但无论如何都提供Windows安装的随机网站不太可能是合法的。