网站搜索

警告:您是否在 Windows 11 上安装了 Play 商店?立即阅读

2022 年 3 月,我们发布了在 Windows 11 上安装 Google Play 商店的说明。该方法涉及来自 GitHub 的一个开源项目。不幸的是,它包含恶意软件。这是修复它的方法。

让我们从重要的部分开始:

目前,我们没有理由相信您的任何敏感信息已被泄露。

这是发生了什么

Windows 11 引入了安装 Android 应用程序的功能,但不是通过 Google Play 商店。自然地,人们开始寻找解决方法。我们发布的教程包含从第三方网站下载脚本的说明。周末,一个使用该脚本的小组发现它包含恶意软件。

脚本做了什么

该脚本下载了一个工具——Windows 工具箱——其中包含将 Google Play 商店安装到 Windows 11 设备的功能。不幸的是,下载 Windows 工具箱的脚本比它宣传的要多。它还包含混淆代码,这些代码将设置一系列计划任务,并创建一个针对基于 Chromium 的浏览器(Google Chrome、Microsoft Edge 和 Brave)的浏览器扩展。只有语言设置为英语的 Windows PC 成为目标。

然后浏览器扩展程序在后台的“无头”浏览器窗口中运行,有效地向用户隐藏了它。此时,发现该恶意软件的小组认为扩展的主要目的是广告欺诈,而不是其他更险恶的事情。

计划任务还运行了一些其他脚本,这些脚本用于一些不同的目的。例如,有人会监控 PC 上的活动任务,并在任务管理器打开时随时关闭用于广告欺诈的浏览器和扩展程序。即使您注意到您的系统运行有点迟钝并去检查问题,您也不会找到问题。一个单独的计划任务,设置为每 9 分钟运行一次,然后将重新启动浏览器和扩展程序。

创建的最令人担忧的配对任务将使用 curl 从传送恶意脚本的原始网站下载文件,然后执行它下载的任何内容。这些任务设置为在用户登录其帐户后每 9 分钟运行一次。从理论上讲,这可能已被用于向恶意代码提供更新以向当前恶意软件添加功能、提供完全独立的恶意软件或作者想要的任何其他东西。

幸运的是,无论谁是攻击的幕后黑手,都没有到达那里——据我们所知,curl 任务除了下载名为“asd”的测试文件外,从未用于任何其他用途,但什么也没做。由于 CloudFlare 的迅速行动,curl 任务从中下载文件的域已被删除。这意味着即使恶意软件仍在您的计算机上运行,它也无法下载任何其他内容。您只需要将其删除,就可以了。

如果您有兴趣阅读有关恶意软件交付是如何分阶段进行的详细分解,以及每个任务的作用,可以在 GitHub 上找到。

如何修复

现在有两个选项可以修复它。第一种是自己手动删除所有受影响的文件和计划任务。第二种是使用最初发现恶意软件的人编写的脚本。

手动清理

我们将从删除所有恶意任务开始,然后删除它创建的所有文件和文件夹。

删除恶意任务

创建的任务都埋在 Task Scheduler 中的 Microsoft > Windows 任务下。以下是查找和删除它们的方法。

单击“开始”,然后在搜索栏中键入“任务计划程序”并按 Enter 键或单击“打开”。

您需要导航到 Microsoft > Windows 任务。您需要做的就是依次双击“Task Scheduler Library”、“Microsoft”和“Windows”。这也适用于打开下面列出的任何任务。

到达那里后,您就可以开始删除任务了。该恶意软件创建多达 8 个任务。

您需要删除其中任何存在的内容:

  • AppID > VerifiedCert
  • 应用经验 > 维护
  • 服务 > CertPathCheck
  • 服务 > CertPathw
  • 服务 > 组件清理
  • 服务 > 服务清理
  • 外壳 > 对象任务
  • 剪辑> ServiceCleanup

在任务计划程序中识别恶意服务后,右键单击它,然后单击“删除”。

从上面的列表中删除所有你能找到的任务,然后你就可以继续下一步了。

删除恶意文件和文件夹

该恶意软件仅创建少量文件,幸运的是,它们仅包含在三个文件夹中:

  • C:\系统文件
  • C:\Windows\security\pywinvera
  • C:\Windows\security\pywinveraa

首先,打开文件资源管理器。在文件资源管理器的顶部,单击“查看”,转到“显示”,然后确保勾选“隐藏的项目”。

寻找一个名为“systemfile”的稍微透明的文件夹。如果它在那里,请右键单击它并点击“删除”。

删除“systemfiles”文件夹后,双击 Windows 文件夹,然后滚动直到找到“Security”文件夹。您正在寻找两个文件夹:一个名为“pywinvera”,另一个名为“pywinveraa”。右键单击它们中的每一个,然后单击“删除”。

大功告成——虽然很烦人,但这种特殊的恶意软件并没有采取太多措施来保护自己。

使用脚本清理

最初识别恶意软件的那些眼尖的人也花了周末时间来分析恶意代码,确定其功能,并最终编写脚本将其删除。我们想对团队的努力大声疾呼。

考虑到我们是如何做到这一点的,您对信任来自 GitHub 的另一个实用程序持怀疑态度是正确的。然而,情况有点不同。与交付恶意代码所涉及的脚本不同,删除脚本很短,我们已经手动审核了它的每一行。我们还自己托管该文件,以确保在没有给我们机会手动确认它是否安全的情况下无法更新它。我们在多台机器上测试了这个脚本以确保它是有效的。

首先,从我们的网站下载压缩脚本,然后将脚本解压缩到任何您想要的位置。

然后你需要启用脚本。单击“开始”按钮,在搜索栏中键入“PowerShell”,然后单击“以管理员身份运行”。

然后将 set-executionpolicy remotesigned 键入或粘贴到 PowerShell 窗口中,然后按 Y。然后您可以关闭 PowerShell 窗口。

导航到您的下载文件夹,右键单击 Removal.ps1,然后单击“使用 PowerShell 运行” 该脚本将检查您系统上的恶意任务、文件夹和文件。

如果它们存在,您将可以选择删除它们。在 PowerShell 窗口中键入“Y”或“y”,然后按 Enter。

然后该脚本将删除恶意软件创建的所有垃圾。

运行删除脚本后,将脚本执行策略恢复为默认设置。以管理员身份打开 PowerShell,输入 set-executionpolicy default ,然后按 Y。然后关闭 PowerShell 窗口。

我们在做什么

情况在不断发展,我们正在密切关注事情的发展。还有一些未解之谜——比如为什么有些人报告安装了无法解释的 OpenSSH 服务器。如果有任何重要的新信息曝光,我们一定会及时通知您。

编者注:在过去的 15 多年里,我们看到许多 Windows 应用程序和浏览器扩展程序转向黑暗面。我们努力做到极其谨慎,只向我们的读者推荐值得信赖的解决方案。由于恶意行为者对开源项目造成的风险越来越大,我们将更加认真地对待未来的建议。 此外,我们想再次强调,没有证据表明您的敏感信息遭到泄露。恶意软件所依赖的域现已被删除,其创建者无法再控制它。

再次,我们要特别感谢那些弄清楚恶意软件如何运作并构建脚本来自动删除它的人。排名不分先后:

  • 帕布马克
  • BlockyTheDev
  • 布鲁巴布拉森
  • Limn0
  • Linux用户GD
  • 三笠
  • 可选M
  • Sonnenläufer
  • Zergo0
  • 苏埃斯科
  • 琪露诺
  • 哈罗曼
  • Janmm14
  • 卢泽德夫
  • XplLiciT
  • 泽瑞瑟