GitHub 上新款恶意软件曝光，欺骗用户“能在 Win11 上安装启用 Google Play 商店”

内容简介：用户可以通过一些努力来侧载应用程序，但也有几种非官方的方式来安装 Google Play 商店。

4 月 18 日消息，微软去年推出了 Windows 11，最引人注目的新增功能是通过 Amazon AppStore 支持 Android 应用程序。用户可以通过一些努力来侧载应用程序，但也有几种非官方的方式来安装 Google Play 商店。

据 Bleeping Computer 报道，近期一款用于安装 Google Play 商店的第三方 工具 被发现是恶意软件。

这款名为“Powershell Windows Toolbox”的工具托管在 GitHub 上，用户 LinuxUserGD 注意到底层代码很神秘，并且包含了恶意代码。随后，用户 SuchByte 为该工具提出了 issue 。Powershell Windows Toolbox 已经从 GitHub 上被删除。

以下是该工具声称要做的所有事情：

首先，该软件使用 Cloudflare workers 加载脚本。在该工具的“如何使用”部分，开发人员已指示用户在 CLI 中运行以下命令：

在加载的脚本执行上述操作时，此处还发现了混淆代码。对此进行去混淆处理后，发现这些是 PowerShell 代码，它们从 Cloudflare workers 加载恶意脚本，并从用户 alexrybak0444 的 GitHub 存储库中加载文件，该用户可能是威胁参与者或其中之一。这些也被报告和删除。

在此之后，该脚本最终会创建一个 Chromium 扩展程序，该扩展程序被认为是该恶意软件活动的主要恶意组件。恶意软件的有效负载似乎是某些链接或 URL，这些链接或 URL 被用于关联公司和推荐通过推广某些软件，或通过 Facebook 和 WhatsApp 消息分发的某些赚钱计划来产生收入。

如果你碰巧在系统上安装了 Powershell Windows Toolbox，则可以删除该工具在感染期间创建的以下组件：

• Microsoft\Windows\AppID\VerifiedCert

• Microsoft\Windows\Application Experience\Maintenance

• Microsoft\Windows\Services\CertPathCheck

• Microsoft\Windows\Services\CertPathw

• Microsoft\Windows\Servicing\ComponentCleanup

• Microsoft\Windows\Servicing\ServiceCleanup

• Microsoft\Windows\Shell\ObjectTask

• Microsoft\Windows\Clip\ServiceCleanup

同时删除恶意脚本在感染期间创建的“C:\systemfile”隐藏文件夹。如果你正在执行系统还原，请确保使用不包括 Powershell Windows Toolbox 的还原点，因为它不会从系统中删除恶意软件。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

• Firefox 已逐渐开始启用 TLS 1.3 支持（附带启用指南）
• 2.启用Admin
• 启用HTTPS过程实例记录
• express启用https小记
• 为你的网站启用 Https
• RabbitMQ 启用 HTTP 后台认证

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。