恶意微软win11下载网站卷土重来，呈现新的病毒安装程序

 4 月 19 日消息，据 Neowin 报道，自从 Windows 11 于 2021 年 6 月首次发布以来，已经有许多活动旨在诱使人们下载虚假的恶意 Windows 11 安装程序，虽然这种活动平息了一段时间，但似乎现在又卷土重来，这一次，情况可能更加致命。如今 Windows 11 已经普遍可用，使其成为当今的危险场景。

CloudSEK 网络安全公司发现了一个类似性质的新恶意软件，新的冒名顶替网站看起来像微软官方网站，但实际上，由于使用 Inno Setup Windows，分发的文件包含了“Inno Stealer”恶意软件安装程序。这是一种新颖的窃取信息恶意软件，在 Virus Total 上没有发现类似的样本。

恶意网站的 URL 是“windows11-upgrade11 [.] com”，似乎 Inno Stealer 活动策划者几个月前从另一个类似恶意软件活动中获取了页面，使用相同的技巧来欺骗潜在的受害者。

CloudSEK 表示，下载受感染的 ISO 后，会在后台运行多个进程以感染用户的系统。它创建 Windows 命令脚本以禁用注册表安全性、添加排除 Defender 、卸载安全产品并删除 shadow volumes。

最后，会创建一个 .SCR 文件，该文件是实际传递恶意负载的文件，在这种情况下，受感染系统出现以下目录中的新型 Inno Stealer 恶意软件：

C:\Users\\AppData\Roaming\Windows11InstallationAssistant

恶意软件负载文件的名称是“Windows11InstallationAssistant.scr”。

以下是用图表解释的整个过程：

CloudSEK 已确定 Inno 信息窃取恶意软件所追求的目标，包括浏览器和加密钱包。这些如下图所示。首先，是浏览器，然后是加密钱包：