Windows 11: akta dig för denna applikation för att installera Google Play Store, det är skadlig programvara

52 2 minutes read
Ce malware en veut vraiment à vos données sur Android
Hacka skadlig programvara © Shutterstock.com

Användare på GitHub har upptäckt att ett verktyg för att installera Google Play ButikWindows 11 innehöll faktiskt skadliga skript.

Verktyget, kallat Powershell Windows Toolbox, har sedan dess tagits bort från GitHub.

Ett attraktivt “allt-i-ett”-verktyg

Spänningen förvandlades snabbt till besvikelse för Windows 11-användare när det avslöjades att tillägget av Android-appar kom genom den underfyllda Amazon App Store. Flera av dem har därför försökt kringgå denna begränsning och installera Google Play Butik på sitt operativsystem. Ett verktyg i synnerhet fångade vissa användares uppmärksamhet: Powershell Windows Toolbox. Men enligt flera GitHub-användare som granskade verktyget installerade det skadlig programvara.

Förutom att installera Google Play Store på Windows 11 erbjöd verktyget att automatiskt avinstallera och ta bort förinstallerade applikationer, aktivera Microsoft Office och Windows eller inaktivera OneDrive och Microsoft Store. Ett lockande förslag för flera användare som därför har installerat det.

Väl dold skadlig programvara

För att köra Powershell Windows Toolbox krävde utvecklaren att användarna angav ett PowerShell-kommando som hämtade ett skript från en Cloudflare-arbetare. Det var detta skript som gjorde det möjligt för Windows Toolbox att utföra de olika utlovade operationerna. Men den innehöll också obfuskerad kod som flera användare upptäckte dold PowerShell-kod. Denna kod gjorde det möjligt för verktyget att ta tag i skadliga skript från andra Cloudflare-arbetare och från filer från ett GitHub-förråd.

Det var inte möjligt att avgöra exakt vad Powershell Windows Toolbox försökte göra på sina offers datorer, eftersom flera resurser som anropas av skadlig programvara nu är otillgängliga. Det visade sig dock skapa en Chromium-tillägg som körde ett nytt skript vid webbläsarstart. Detta skript verkar ha det huvudsakliga syftet att generera intäkter för utvecklaren. Den gör detta genom att omdirigera offer till betalda länkar och bluffsajter som lovar enkla metoder för att tjäna pengar, visar annonser för programvara och använder webbläsaraviseringar för att främja bedrägerier.

Enligt Bleeping Computer, den skadliga programvaran samlade in information om offrets plats, och endast användare i USA var inriktade på. Men om du har laddat ner verktyget är det fortfarande nödvändigt att kontrollera om det inte har skapat följande schemalagda uppgifter:

  • Microsoft\Windows\AppID\VerifiedCert
  • Microsoft\Windows\Application Experience\Maintenance
  • Microsoft\Windows\Services\CertPathCheck
  • Microsoft\Windows\Services\CertPathw
  • Microsoft\Windows\Servicing\ComponentCleanup
  • Microsoft\Windows\Service\ServiceCleanup
  • Microsoft\Windows\Shell\ObjectTask
  • Microsoft\Windows\Clip\ServiceCleanup

Det kommer också att vara nödvändigt att kontrollera närvaron av den dolda mappen C:\systemfil och filerna C:\Windows\security\pywinvera, C:\Windows\security\pywinveraa, C:\Windows\security\winver.png och ta bort dem. Om du vill återställa ditt system från en återställningspunkt, se till att du inte använder den som skapas automatiskt av Powershell Windows Toolbox när den används första gången.

Om samma ämne:
Akta dig för denna aggressiva skadliga programvara gömd i Windows 10 och 11 systemuppgifter

Källa: Bleeping Computer

Tags
52 2 minutes read

Relaterade Artiklar

YouTube Tutos Logo

Hur lägger man till en video i en YouTube-spellista?

How to add Caption to Images in Google Docs

Hur man lägger till bildtext till bilder i Google Dokument

Undone: Prime Video ger äntligen nyheter om säsong 2 av sin atypiska animerade serie

Opel Rocks-e © Opel

Opel presenterar Rocks-e, sin lilla elektriska stadsbil inspirerad av Citroën AMI

Lär dig mer om SEO för Bloggande Och Mobil Recensioner  |  © Copyright 2023, All Rights Reserved
Back to top button