Powershell Windows Toolbox yang membantu memasang Google Play pada Windows 11 ialah perisian hasad

Antara lain, alat pihak ketiga yang digunakan untuk memasang Gedung Google Play didapati berniat jahat. Malah, salah seorang pembaca Neowin, +Eli, juga nampaknya telah menjadi mangsa alat itu, kerana mereka nampaknya telah menggunakannya untuk memasang Gedung Play.

Alat yang dipanggil "Powershell Windows Toolbox" dihoskan pada GitHub, dan pengguna LinuxUserGD menyedari bahawa kod asas itu adalah misteri dan mengandungi kod hasad. Kemudian, pengguna SuchByte membangkitkan isu untuk alat tersebut. Kotak alat Windows Powershell telah dialih keluar daripada GitHub.

Berikut ialah semua perkara yang didakwa dilakukan oleh alat:

Pertama, perisian menggunakan pekerja Cloudflare untuk memuatkan skrip. Dalam bahagian "Cara menggunakan" alat, pembangun telah mengarahkan pengguna untuk menjalankan arahan berikut dalam CLI:

Semasa skrip yang dimuatkan melakukan perkara di atas, ia juga ditemui di sini Kod yang dikelirukan. Penyahkeliruan ini mendedahkan bahawa ini adalah kod PowerShell yang memuatkan skrip berniat jahat daripada pekerja Cloudflare dan fail daripada repositori GitHub pengguna alexrybak0444, kemungkinan aktor ancaman atau salah seorang daripada mereka. Ini juga dilaporkan dan dialih keluar (versi arkib di sini).

Selepas ini, skrip akhirnya mencipta sambungan Chromium yang dipercayai sebagai komponen hasad utama kempen perisian hasad ini. Muatan perisian hasad nampaknya merupakan pautan atau URL tertentu yang digunakan untuk menjana pendapatan melalui ahli gabungan dan rujukan dengan mempromosikan perisian tertentu atau beberapa skim menjana wang yang diedarkan melalui mesej Facebook dan WhatsApp.

Jika anda kebetulan telah memasang Powershell Windows Toolbox pada sistem anda, anda boleh mengalih keluar komponen berikut yang dicipta oleh alat semasa jangkitan:

• MicrosoftWindowsAppIDVerifiedCert
• Penyelenggaraan Pengalaman Aplikasi MicrosoftWindows
• MicrosoftWindowsServicesCertPathCheck
• MicrosoftWindowsServicesCertPathw
• MicrosoftWindowsServiceingComponentCleanup
Perkhidmatan Microsoft WindowsServiceing
• MicrosoftWindowsShellObjectTask
• MicrosoftWindowsClipServiceCleanup

Juga memadamkan folder tersembunyi "C:systemfile" yang dicipta oleh skrip berniat jahat semasa jangkitan. Jika anda melakukan pemulihan sistem, pastikan anda menggunakan titik pemulihan yang tidak dilakukan oleh Kotak Alat Windows Powershell itu sendiri, kerana ia tidak akan mengalih keluar perisian hasad daripada sistem.

Atas ialah kandungan terperinci Powershell Windows Toolbox yang membantu memasang Google Play pada Windows 11 ialah perisian hasad. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!