Tin tức và phân tích của tất cả các thiết bị di động
blogs3

Windows 11: chú ý đến ứng dụng này để cài đặt Google Play Stoređó là phần mềm độc hại

Phần mềm độc hại hack © Shutterstock.com

Người dùng trên GitHub đã phát hiện ra rằng một công cụ để cài đặt Google Play Store trên Windows 11 thực sự chứa các đoạn mã độc hại.

Công cụ, được gọi là Powershell Windows Hộp công cụ, đã bị xóa khỏi GitHub.

Một công cụ “tất cả trong một” hấp dẫn

Sự phấn khích nhanh chóng chuyển thành sự thất vọng đối với người dùng Windows 11 khi nó được tiết lộ rằng việc thêm các ứng dụng Android đã trải quaAmazon App Store, không đủ cung cấp cho thị hiếu của họ. Do đó, một số người trong số họ đã cố gắng vượt qua hạn chế này và cài đặt Google Play Store trên hệ điều hành của họ. Một công cụ đặc biệt thu hút sự chú ý của một số người dùng: Powershell Windows Hộp công cụ. Tuy nhiên, theo một số người dùng GitHub đã xem xét công cụ này, nó đã cài đặt phần mềm độc hại.

Ngoài việc cài đặt Google Play Store trên Windows 11, công cụ được cung cấp để tự động gỡ cài đặt và xóa các ứng dụng được cài đặt sẵn, kích hoạt Microsoft Office và Windowshoặc hủy kích hoạt OneDrive và Microsoft Store. Một đề xuất hấp dẫn cho một số người dùng đã cài đặt nó.

Phần mềm độc hại ẩn tốt

Để chạy Powershell Windows Hộp công cụ, nhà phát triển đã gọi người dùng nhập lệnh PowerShell lấy một tập lệnh từ nhân viên Cloudflare. Chính kịch bản này đã cho phép Windows Hộp công cụ để thực hiện các hoạt động khác nhau đã hứa. Nhưng nó cũng chứa mã bị xáo trộn mà một số người dùng đã phát hiện ra mã PowerShell bị che giấu. Mã này cho phép công cụ lấy các tập lệnh độc hại từ các nhân viên Cloudflare khác và từ các tệp từ kho lưu trữ GitHub.

Không thể xác định chính xác mọi thứ mà Powershell Windows Hộp công cụ đã tìm cách thực hiện trên máy tính của nạn nhân, vì một số tài nguyên mà phần mềm độc hại gọi hiện không thể truy cập được. Tuy nhiên, nó được tìm thấy để tạo một tiện ích mở rộng Chromium chạy một tập lệnh mới khi khởi chạy trình duyệt. Tập lệnh này dường như có mục đích chính là tạo ra doanh thu cho nhà phát triển. Nó thực hiện điều này bằng cách chuyển hướng nạn nhân đến các liên kết trả phí và các trang web lừa đảo hứa hẹn các phương pháp kiếm tiền dễ dàng, hiển thị quảng cáo cho phần mềm và sử dụng thông báo của trình duyệt để quảng cáo lừa đảo.

Dựa theo BleepingComputer, phần mềm độc hại đã thu thập thông tin về vị trí của nạn nhân và chỉ những người dùng ở Hoa Kỳ mới được nhắm mục tiêu. Tuy nhiên, nếu bạn đã tải xuống công cụ, bạn vẫn cần kiểm tra xem nó có chưa tạo các tác vụ theo lịch trình sau đây không:

  • Microsoft \Windows\ AppID \ VerifiedCert
  • Microsoft \Windows\ Trải nghiệm ứng dụng \ Bảo trì
  • Microsoft \Windows\ Dịch vụ \ CertPathCheck
  • Microsoft \Windows\ Dịch vụ \ CertPathw
  • Microsoft \Windows\ Servicing \ ComponentCleanup
  • Microsoft \Windows\ Servicing \ ServiceCleanup
  • Microsoft \Windows\ Shell \ ObjectTask
  • Microsoft \Windows\ Clip \ ServiceCleanup

Cũng cần phải kiểm tra sự hiện diện của thư mục ẩn C: \ systemfile và các tệp C: \Windows\ security \ pywinvera, C: \Windows\ security \ pywinveraa, C: \Windows\ security \ winver.png và xóa chúng. Nếu bạn muốn khôi phục hệ thống của mình từ một điểm khôi phục, hãy đảm bảo rằng bạn không sử dụng điểm được tạo tự động bởi Powershell Windows Hộp công cụ khi sử dụng lần đầu.

Về cùng một chủ đề:
Hãy cẩn thận với phần mềm độc hại tích cực này ẩn trong các nhiệm vụ hệ thống của Windows 10 và 11

Nguồn : BleepingComputer

Khuyến Khích: