如果你之前安装的Windows系统，不是从微软官方下载的，那么就要小心了，因为就在前不久，著名的安全厂商德国在外部发现黑客在盗版的Windows系统的iOS镜像文件中植入了一种名为K的木马程序，最主要是因为它的攻击方式，非常的罕见，它会在window系统中先建一个e Fi的磁盘分区，然后加载一个注入程序，再用进程清空方式将木马程序植入到正常的系统进程中，它的目的是为了避免被安全软件给检查到，因为众所周知，标准的杀毒软件它是不会扫描EF分区的，也就意味着这个木马程序它是无法被杀作去检测到的，也就是杀不出来的。目前根据官方公布的情况来看，它是感染的Windows版本主要有以下几个，第一个是Windows10专业版22H2，然后版本号是一九零四五点二七二八，Office是2021叉六四版本，然后第二个是Windows的专业版。

它也是专业版，232H hi，一九零四五点二八四六，也是加的OFFICE2021叉六版本，然后第三个也是Windows10的专业版，版本号也是二十二九二，后面的具体版本号是一九零四点二八四六叉六四版本，它的后缀位是一样的，是出自同一个之手。然后第四版本也是Windows10的232H2专业版，版本号是一九零五点二九一三，然后加了个OFFICE2021版本，第五个版本是Windows10的专业版，也是23H2，版本号是一九零四五点二九一三二叉六四版本，同样出的同样的这首，如果你之前在网上通过非官方下载链接或通过这BT种织下载的话，那么要注意到看下这些下载版本是不是这个版本，如果是的话，那你就千万小心了，因为根据德的外部的报告来看，被植入了恶意病毒的Windows10版本，它会在系统的目录中悄悄隐藏以下这三个程序，第一是在source文件夹下，Windows文件夹以及install。

在文件夹下它会生成这个exc club.ex程序，然后第二个程序是cover.exe，然后第三个是一个动态连接库，它的名字就这个KD085178.dll这三个被注入的程序它是隐藏的，它大概工作原理方式是这样的，如果你按照这个带后门的window系统的话，它会创建一个计划任务来启动这个名为这个in sky.x1的释放器，来将这EF分区，挂载到这个M驱动器下，同时它会释放两个文件，一，就是这个cover点一个一，还有这个K点零八开头这个动态连接库，接着它会把这两个程序复制到C盘驱动器下，然后其中cover点一个是一个程序，下一步它会通过进程挖空在那个clip恶意程序，通过动态连接库合法注入到这个系统，竞争力被注入以后，在clip它会检查C盘目录下是否存在这个c.INF这个文件，如果存在的话，那它接着会分析是否存在这个进程管理器，任务管理器，进程监视器等等。
如果它检测到上面其中任意一个进程的话，那么它就不会替换你加密钱包地址，但是如果他没有检测到以上进程的话，那它会运行这个club的程序来进一步接省电脑中的解析内容。如果你电脑上之前通过加密货币进行转账的话，那么他会在后台悄悄的把你的转账的钱包地址呀替换成他的，也就意味着当你下次在电脑上进行加密货币转账的时候，你的加密货币会自动转到黑客钱包里，而且这个偷盗过程，它的神不知鬼不觉的一般是很难发现的，如果被转账以后才会知道，通过这个逆下工程，我们会看到这个是被黑客硬编码的病毒的钱包地址，还是非常多的好几个，也就意味着如果电在安装这个盗版程序的话，那么当你在电脑上进行加密货币转账的时候，那么你的加密货币汇中达到以上这个黑客的地址里，而且如果一旦转出去的话，那么这个钱你肯定是拿不回来的，所以如果你之前安装过盗版的Windows系统，或者你是没有经过这个微软官方下载的系统镜像来进行安装的，那么为了安全起见，我建议。
重装一下系统，通过这种方式的话，它可以彻底清除单机电在后面程序，从而保证系统的安全。

未经允许不得转载：佳友虚拟资源网 » Windows 10 盗版用户注意！系统镜像被黑客植入偷钱病毒，这是自救的最佳方法！