Εμφανίστηκαν στο διαδίκτυο Windows 10 ISO που χρησιμοποιούνται για τοποθέτηση κακόβουλου λογισμικού . Αυτά τα ISOs κατεβαίνουν μέσω torrents. Τοποθετούν κυρίως κώδικες κρυπτονομισμάτων στο διαμέρισμα EFI (Extensible Firmware Interface) για να αποφύγουν τον εντοπισμό.
Το τμήμα EFI είναι ένα μικρό διαμέρισμα συστήματος που περιέχει το bootloader για την εκκίνηση του λειτουργικού συστήματος. Είναι απαραίτητο για συστήματα που τροφοδοτούνται από UEFI που αντικαθιστούν το απαρχαιωμένο πλέον BIOS.
Υπήρξαν επιθέσεις που χρησιμοποιούν τροποποιημένα διαμερίσματα EFI για την ενεργοποίηση κακόβουλου λογισμικού εκτός του περιβάλλοντος του λειτουργικού συστήματος και των εργαλείων άμυνάς του. Ωστόσο, τα πειρατικά ISO των Windows 10 ανακαλύφθηκαν από ερευνητές στο Dr. Web Χρησιμοποιήστε απλώς το EFI ως ασφαλή χώρο αποθήκευσης για τα εξαρτήματα της κουρευτικής μηχανής.
Τα τυπικά εργαλεία προστασίας από ιούς δεν σαρώνουν συνήθως το διαμέρισμα EFI . Έτσι, το κακόβουλο λογισμικό μπορεί να παρακάμψει τις ανιχνεύσεις κακόβουλου λογισμικού.
Η αναφορά του Dr. Web εξηγεί ότι οι κακόβουλες εκδόσεις των Windows 10 αποκρύπτουν τις ακόλουθες εφαρμογές στον κατάλογο του συστήματος:
- \Windows\Installer\iscsicli.exe (σταγονόμετρο)
- \Windows\Installer\recovery.exe (injector)
- \Windows\Installer\kd_08_5e78.dll (clipper)
