Windows Defender 无法检测到隐藏在盗版软件中的恶意软件

刚刚发现了一种新型恶意软件。它甚至设法隐藏其不当行为，不让 Windows Defender 防病毒软件发现。该恶意软件使用如此复杂的系统，发现它的研究人员将其命名为“MosaicLoader”。

马赛克加载器是隐藏在的恶意软件盗版软件，更准确地说是在他们的安装程序中。 Bitdefender 在发现该恶意软件的最初，就警告了该恶意软件的危险性（这很常见），但最重要的是其超复杂的设计和操作方法（这不太常见）。

因此，该软件隐藏在安装程序中，一旦安装到 PC 上，它就会从 URL 列表中下载其他恶意软件。当然，他不介意将它们安装在机器上。但也许真正造成问题的是它安装的恶意软件无法被防病毒软件检测到Windows Defender，其有效性不再需要证明。

MosaicLoader 阻止 Windows Defender 扫描其安装的恶意软件

MosaicLoader 因其相当复杂的结构和安装方法而得名：该恶意软件的设计方式可以防止任何逆向工程尝试。 MosaicLoader 隐藏在盗版软件的安装程序中，首先下载 ZIP 存档，然后将其解压到 %TEMP% 目录中。

该存档包含两个可执行文件。它们被命名为 appsetup.exe 和 prun.exe。一旦 PC 被感染，恶意软件就会通过启动多个 Microsoft 终端实例，使用 Powershell 命令向 Windows Defender 添加排除项。因此，微软的安全套件不会分析这两个下载的可执行文件。这将确保 MosaicLoader 安装的恶意软件能够逃脱攻击。

另请阅读：Windows Defender，一个错误在 Windows 10 PC 上创建了数千个不必要的文件

MosaicLoader 一旦安装在系统中，就可以充当僵尸网络，传播其他恶意软件，从而将其范围扩展到其他 PC。 Bitdefender 研究人员表示，保护自己免受此类恶意软件侵害的最佳方法是不要下载盗版软件，无论其来源如何。 “该应用程序的危险在于它可以将任何恶意软件传播到系统中。其目标是从攻击者控制的感染源下载恶意软件列表并执行它们。”

请注意，很容易验证您的电脑没有被 MosaiLoader 感染，并且它没有向 Windows Defender 添加排除项。为此，只需在 Windows 10 或 Windows 11 的搜索字段中键入 Regedit 即可打开注册表。排除项在以下注册表项中可见：

• 文件和文件夹排除
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
• 文件类型排除
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions
• 进程排除
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes

来源 ：黑客新闻