Windows 11에 Google Play를 설치하는 데 도움이 되는 Powershell Windows 도구 상자는 악성 코드입니다.

무엇보다도 Google Play 스토어를 설치하는 데 사용된 타사 도구가 악성인 것으로 밝혀졌습니다. 실제로 네오윈 독자 중 한 명인 +엘리(+Eli)도 이 도구를 사용해 플레이스토어를 설치한 것으로 보인다.

"Powershell Windows Toolbox"라는 도구는 GitHub에서 호스팅되며 사용자 LinuxUserGD는 기본 코드가 신비스럽고 악성 코드를 포함하고 있음을 발견했습니다. 나중에 SuchByte 사용자가 도구에 대한 문제를 제기했습니다. Powershell Windows 도구 상자가 GitHub에서 제거되었습니다.

도구가 수행한다고 주장하는 모든 작업은 다음과 같습니다.

먼저, 소프트웨어는 Cloudflare 작업자를 사용하여 스크립트를 로드합니다. 도구의 "사용 방법" 섹션에서 개발자는 사용자에게 CLI에서 다음 명령을 실행하도록 지시했습니다.

로드된 스크립트가 위 작업을 수행할 때 난독화된 코드도 여기에서 발견되었습니다. 난독화를 통해 이는 Cloudflare 작업자의 악성 스크립트와 위협 행위자 또는 그 중 한 명인 사용자 alexrybak0444의 GitHub 리포지토리 파일을 로드하는 PowerShell 코드라는 것이 밝혀졌습니다. 이 또한 보고되고 제거되었습니다(여기에 보관된 버전).

이후 스크립트는 결국 이 악성 코드 캠페인의 주요 악성 구성 요소로 여겨지는 Chromium 확장 프로그램을 생성합니다. 악성코드의 페이로드는 Facebook 및 WhatsApp 메시지를 통해 배포되는 특정 소프트웨어나 일부 돈 버는 계획을 홍보하여 ​​제휴 및 추천을 통해 수익을 창출하는 데 사용되는 특정 링크 또는 URL인 것으로 보입니다.

시스템에 Powershell Windows 도구 상자가 설치되어 있는 경우 감염 중에 도구에 의해 생성된 다음 구성 요소를 제거할 수 있습니다.

• MicrosoftWindowsAppIDVerifiedCert
• MicrosoftWindows 응용 프로그램 경험 유지 관리
• MicrosoftWindowsServicesCertPathCheck
• MicrosoftWindowsServicesCertPathw
• MicrosoftWindowsServiceingComponent Cleanup
• Microsoft Windows Service Cleanup
• MicrosoftWindowsShellObjectTask
• MicrosoftWindowsClipServiceCleanup

또한 감염 중 악성 스크립트에 의해 생성된 "C:systemfile" 숨김 폴더도 삭제합니다. 시스템 복원을 수행하는 경우 Powershell Windows 도구 상자 자체에서 수행되지 않는 복원 지점을 사용해야 합니다. 시스템에서 맬웨어가 제거되지는 않기 때문입니다.

위 내용은 Windows 11에 Google Play를 설치하는 데 도움이 되는 Powershell Windows 도구 상자는 악성 코드입니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!