هذه المقالة تحذيرية عن أنظمة التشغيل Windows 10 ISO المقرصنة والي يجب ان تتجنبها لحمايتك. يقوم المخترقون بتوزيع ويندوز 10 باستخدام التورنت ويخفون مشغلي العملات المشفرة في قسم EFI (واجهة البرمجة القابلة للتوسع) لتجنب الكشف.
تعتبر قسم EFI قسمًا صغيرًا في النظام يحتوي على مشغل الأحذية والملفات المرتبطة التي يتم تنفيذها قبل بدء تشغيل نظام التشغيل. إنه ضروري لأنظمة UEFI التي تحل محل BIOS القديم الآن.
تم استغلال الأقسام المعدلة في EFI في هجمات تفعيل برامج ضارة من خارج سياق نظام التشغيل وأدوات الدفاع الخاصة به، مثل حالة BlackLotus. ومع ذلك، تستخدم نسخ ويندوز 10 المقرصنة التي اكتشفها الباحثون في Dr. Web EFI فقط كمساحة تخزين آمنة لمكونات الحافظة.
نظرًا لأن أدوات مكافحة الفيروسات العادية لا تفحص القسم EFI بشكل شائع، يمكن للبرامج الضارة تجاوز اكتشاف البرامج الضارة.
يشرح تقرير Dr. Web أن نسخ ويندوز 10 الخبيثة تخفي التطبيقات التالية في دليل النظام:
\Windows\Installer\iscsicli.exe (المنسق)
\Windows\Installer\recovery.exe (المحقن)
\Windows\Installer\kd_08_5e78.dll (المنسوخ)
عند تثبيت نظام التشغيل باستخدام ملف ISO، يتم إنشاء مهمة مجدولة لتشغيل المنسق بالاسم iscsicli.exe، الذي يقوم بتركيب قسم EFI كمحرك الأقراص “M:\”. بمجرد التركيب، يقوم المنسق بنسخ الملفين الآخرين recovery.exe و kd_08_5e78.dll إلى القرص C:\.
ثم يتم تشغيل recovery.exe، الذي يقوم بحقن مكتبة البرامج الضارة DLL في عملية النظام الشرعية %WINDIR%\System32\Lsaiso.exe باستخدام تجويف العملية.
بعد حقنها، يقوم المقص بالتحقق مما إذا كان الملف C:\Windows\INF\scunown.inf موجودًا أو إذا كانت أدوات التحليل مشغلة، مثل Process Explorer و Task Manager و Process Monitor و ProcessHacker وغيرها.
إذا تم اكتشافها، فلن يقوم المقص بتعويض عناوين المحفظة المشفرة لتجنب الكشف من قبل الباحثين الأمنيين.
عندما يعمل المقص، فإنه سيراقب حافظة النظام للعثور على عناوين محافظ العملات المشفرة. إذا تم العثور على أي عناوي، سيتم استبدالها على الفور بعناوين تخص القراصنة.
وهذا يتيح للمهاجمين توجيه المدفوعات إلى حساباتهم، وفقًا لتقرير Dr. Web، حيث جنى على الأقل 19,000 دولار من العملات المشفرة على عناوين المحافظ التي تمكن الباحثون من تحديدها.
تم استخراج هذه العناوين من ملفات ISO لويندوز التالية المشاركة على مواقع التورنت، ولكن يحذر Dr. Web من وجود المزيد منها:
Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso
في النهاية يجب تجنب تنزيل أنظمة التشغيل المقرصنة لأنها يمكن أن تكون خطرة، حيث يمكن لأولئك الذين يقومون بإنشاء النسخ غير الرسمية إخفاء البرامج الضارة المستمرة بسهولة. هذه المقالة تحذيرية عن انظمة التشغيل Windows 10 ISO المقرصنة لتجنبها وتجنب المشاكل التي قد تحدث بسببها. يمكنك شراء نسخة الوندوز الاصلية من متجرنا