這個Windows11安裝程序真的是惡意軟件

由于軟件對硬件的嚴格要求，對于許多現有計算機來說，安裝Windows11并不容易。這導致許多Windows10用戶尋找避開此類障礙的解決方法。

但要小心，因為一個假定的Windows11安裝程序實際上是RedLine竊取程序，這是一種眾所周知的信息竊取惡意軟件，它會感染您的Web瀏覽器并竊取您的密碼、信用卡號、登錄會話令牌甚至加密貨幣令牌.(RedLine是您不應該讓瀏覽器保存密碼的幾個原因之一。)

惠普惡意軟件分析師PatrickSchläpfer昨天(2月8日)在惠普官方博客文章中報告說，該惡意軟件是從windows-upgraded[.]com網站分發的。惠普在1月27日注意到了這個虛假網站，就在微軟宣布Windows11可以免費下載所有符合條件的設備的第二天。

Schläpfer寫道：“這次活動再次凸顯了攻擊者如何迅速利用重要、相關和有趣的時事來制造有效的誘餌。”“對于威脅參與者來說，重要的公告和事件總是很有趣的話題，可以被利用來傳播惡意軟件。”

該網站看起來就像一個官方的微軟網站，一直到操作系統制造商的標志、網站布局和極簡主義的設計美學。“獲取Windows11”被顯著顯示，下方是一個按鈕，上面寫著“立即下載”。

Schläpfer說，如果您單擊該按鈕，您將訪問Discord存儲服務器并下載一個名為Windows11InstallationAssistant.zip的1.5MB壓縮文件。Schläpfer指出，解壓后，該文件擴展至高達753MB——壓縮率高達99.8%。

事實證明，很多751MB的主文件Windows11InstallationAssistant.exe只是由重復的零組成的填充，因此具有極高的壓縮比。為什么需要這么多的填充?

“攻擊者可能會插入這樣一個填充區域，使文件變得非常大，”Schläpfer寫道，“這種大小的文件可能不會被防病毒軟件和其他掃描控件掃描，從而增加了文件被不受阻礙地執行并安裝惡意軟件。”

如果你運行Windows11InstallationAssistant.exe，你會得到一個持續21秒的命令行操作，然后下載一個名為win11.jpg的看起來像JPEG文件的文件。

聽起來無害，對吧?不完全——如果你向后閱讀JPEG的代碼，你會得到一個動態鏈接庫(DLL)文件，其中包含RedLine信息竊取程序，當你在你的PC上運行所謂的“安裝助手”時，一個有效載荷會落在你的腿上。

RedLine“收集有關當前執行環境的各種信息，例如用戶名、計算機名稱、安裝的軟件和硬件信息，”Schläpfer解釋說。“該惡意軟件還會從網絡瀏覽器中竊取存儲的密碼、信用卡信息等自動完成數據，以及加密貨幣文件和錢包。”

即使windows-upgraded[.]com站點不再可用，騙子很容易在不同的域再次嘗試，甚至使用不同的誘餌。事實上，Schläpfer指出，同樣的壞人似乎在去年12月發起了一次非常相似的活動，該活動使用虛假的Discord安裝程序網站分發RedLine。

為了保護自己免受RedLine和其他形式的惡意軟件的侵害，請檢查您從中下載軟件的每個站點的URL(網址)，并在打開之前通過防病毒掃描程序運行每個安裝程序文件。(大多數最好的Windows防病毒程序都可以識別RedLine。)

并使用常識-一個域名中沒有“microsoft.com”但無論如何都提供Windows安裝的隨機網站不太可能是合法的。