本篇文章给各位网友带来的资讯是:GitHub 上新款恶意软件曝光,欺骗用户“能在 Win11 上安装启用 Google Play 商店” 详情请欣赏下文
IT大王 4 月 18 日消息,微软去年推出了 Windows 11,最引人注目的新增功能是通过 Amazon AppStore 支持 Android 应用程序。用户可以通过一些努力来侧载应用程序,但也有几种非官方的方式来安装 Google Play 商店。
据 Bleeping Computer 报道,近期一款用于安装 Google Play 商店的第三方工具被发现是恶意软件。
这款名为“Powershell Windows Toolbox”的工具托管在 GitHub 上,用户 LinuxUserGD 注意到底层代码很神秘,并且包含了恶意代码。随后,用户 SuchByte 为该工具提出了问题。Powershell Windows Toolbox 已被从 GitHub 中删除。
以下是该工具声称要做的所有事情:
首先,该软件使用 Cloudflare 工作者加载脚本。在该工具的“如何使用”部分,开发人员已指示用户在 CLI 中运行以下命令:
在加载的脚本执行上述操作时,此处还发现了混淆代码。对此进行去混淆处理后,发现这些是 PowerShell 代码,它们从 Cloudflare workers 加载恶意脚本,并从用户 alexrybak0444 的 GitHub 存储库中加载文件,该用户可能是威胁参与者或其中之一。这些也被报告和删除。
在此之后,该脚本最终会创建一个 Chromium 扩展程序,该扩展程序被认为是该恶意软件活动的主要恶意组件。恶意软件的有效负载似乎是某些链接或 URL,这些链接或 URL 被用于关联公司和推荐通过推广某些软件,或通过 Facebook 和 WhatsApp 消息分发的某些赚钱计划来产生收入。
如果你碰巧在系统上安装了 Powershell Windows Toolbox,则可以删除该工具在感染期间创建的以下组件:
-
MicrosoftWindowsAppIDVerifiedCert
-
MicrosoftWindowsApplication ExperienceMaintenance
-
MicrosoftWindowsServicesCertPathCheck
-
MicrosoftWindowsServicesCertPathw
-
MicrosoftWindowsServicingComponentCleanup
-
MicrosoftWindowsServicingServiceCleanup
-
MicrosoftWindowsShellObjectTask
-
MicrosoftWindowsClipServiceCleanup
同时删除恶意脚本在感染期间创建的“C:systemfile”隐藏文件夹。如果你正在执行系统还原,请确保使用不包括 Powershell Windows Toolbox 的还原点,因为它不会从系统中删除恶意软件。
1、IT大王遵守相关法律法规,由于本站资源全部来源于网络程序/投稿,故资源量太大无法一一准确核实资源侵权的真实性;
2、出于传递信息之目的,故IT大王可能会误刊发损害或影响您的合法权益,请您积极与我们联系处理(所有内容不代表本站观点与立场);
3、因时间、精力有限,我们无法一一核实每一条消息的真实性,但我们会在发布之前尽最大努力来核实这些信息;
4、无论出于何种目的要求本站删除内容,您均需要提供根据国家版权局发布的示范格式
《要求删除或断开链接侵权网络内容的通知》:https://itdw.cn/ziliao/sfgs.pdf,
国家知识产权局《要求删除或断开链接侵权网络内容的通知》填写说明: http://www.ncac.gov.cn/chinacopyright/contents/12227/342400.shtml
未按照国家知识产权局格式通知一律不予处理;请按照此通知格式填写发至本站的邮箱 wl6@163.com
