安全人员发现新的虚假“微软 win11 下载网站”，包含恶意病毒安装程序 -j9九游会登陆入口

it之家 4 月 19 日消息，据 neowin 报道，自从 windows 11 于 2021 年 6 月首次发布以来，已经有许多活动旨在诱使人们下载虚假的恶意 windows 11 安装程序。虽然这种活动平息了一段时间，但似乎现在又卷土重来，这一次，情况可能更加致命。如今 windows 11 已经普遍可用，使其成为当今的危险场景。

cloudsek 网络安全公司发现了一个类似性质的新恶意软件，新的冒名顶替网站看起来像微软官方网站，但实际上，由于使用 inno setup windows，分发的文件包含了“inno stealer”恶意软件安装程序。这是一种新颖的窃取信息恶意软件，在 virus total 上没有发现类似的样本。

恶意网站的 url 是“windows11-upgrade11 [.] com”，似乎 inno stealer 活动策划者几个月前从另一个类似恶意软件活动中获取了页面，使用相同的技巧来欺骗潜在的受害者。

cloudsek 表示，下载受感染的 iso 后，会在后台运行多个进程以感染用户的系统。它创建 windows 命令脚本以禁用注册表安全性、添加排除 defender 、卸载安全产品并删除 shadow volumes。

最后，会创建一个 .scr 文件，该文件是实际传递恶意负载的文件，在这种情况下，受感染系统出现以下目录中的新型 inno stealer 恶意软件：

c:\users\\appdata\roaming\windows11installationassistant

恶意软件负载文件的名称是“windows11installationassistant.scr”。

以下是用图表解释的整个过程：

cloudsek 已确定 inno 信息窃取恶意软件所追求的目标，包括浏览器和加密钱包。这些如下图所示。首先，是浏览器，然后是加密钱包：