由于软件对硬件的严格要求，对于许多现有计算机来说，安装Windows11并不容易。这导致许多Windows10用户寻找避开此类障碍的解决方法。

但要小心，因为一个假定的Windows11安装程序实际上是RedLine窃取程序，这是一种众所周知的信息窃取恶意软件，它会感染您的Web浏览器并窃取您的密码、信用卡号、登录会话令牌甚至加密货币令牌.(RedLine是您不应该让浏览器保存密码的几个原因之一。)

惠普恶意软件分析师PatrickSchläpfer昨天(2月8日)在惠普官方博客文章中报告说，该恶意软件是从windows-upgraded[.]com网站分发的。惠普在1月27日注意到了这个虚假网站，就在微软宣布Windows11可以免费下载所有符合条件的设备的第二天。

Schläpfer写道：“这次活动再次凸显了攻击者如何迅速利用重要、相关和有趣的时事来制造有效的诱饵。”“对于威胁参与者来说，重要的公告和事件总是很有趣的话题，可以被利用来传播恶意软件。”

该网站看起来就像一个官方的微软网站，一直到操作系统制造商的标志、网站布局和极简主义的设计美学。“获取Windows11”被显着显示，下方是一个按钮，上面写着“立即下载”。

Schläpfer说，如果您单击该按钮，您将访问Discord存储服务器并下载一个名为Windows11InstallationAssistant.zip的1.5MB压缩文件。Schläpfer指出，解压后，该文件扩展至高达753MB——压缩率高达99.8%。

事实证明，很多751MB的主文件Windows11InstallationAssistant.exe只是由重复的零组成的填充，因此具有极高的压缩比。为什么需要这么多的填充?

“攻击者可能会插入这样一个填充区域，使文件变得非常大，”Schläpfer写道，“这种大小的文件可能不会被防病毒软件和其他扫描控件扫描，从而增加了文件被不受阻碍地执行并安装恶意软件。”

如果你运行Windows11InstallationAssistant.exe，你会得到一个持续21秒的命令行操作，然后下载一个名为win11.jpg的看起来像JPEG文件的文件。

听起来无害，对吧?不完全——如果你向后阅读JPEG的代码，你会得到一个动态链接库(DLL)文件，其中包含RedLine信息窃取程序，当你在你的PC上运行所谓的“安装助手”时，一个有效载荷会落在你的腿上。

RedLine“收集有关当前执行环境的各种信息，例如用户名、计算机名称、安装的软件和硬件信息，”Schläpfer解释说。“该恶意软件还会从网络浏览器中窃取存储的密码、信用卡信息等自动完成数据，以及加密货币文件和钱包。”

即使windows-upgraded[.]com站点不再可用，骗子很容易在不同的域再次尝试，甚至使用不同的诱饵。事实上，Schläpfer指出，同样的坏人似乎在去年12月发起了一次非常相似的活动，该活动使用虚假的Discord安装程序网站分发RedLine。

为了保护自己免受RedLine和其他形式的恶意软件的侵害，请检查您从中下载软件的每个站点的URL(网址)，并在打开之前通过防病毒扫描程序运行每个安装程序文件。(大多数最好的Windows防病毒程序都可以识别RedLine。)

并使用常识-一个域名中没有“microsoft.com”但无论如何都提供Windows安装的随机网站不太可能是合法的。