協助在 Windows 11 上安裝 Google Play 的 Powershell Windows Toolbox 是惡意軟體

除此之外，用於安裝 Google Play 商店的第三方工具被發現是惡意的。事實上，Neowin 的一位讀者 Eli似乎也成為了該工具的受害者，因為他們似乎使用它安裝了 Play Store。

這個名為「Powershell Windows Toolbox」的工具託管在 GitHub 上，使用者 LinuxUserGD 注意到底層程式碼很神秘，並且包含惡意程式碼。隨後，用戶SuchByte為該工具提出了這個問題。 Powershell Windows 工具箱已從 GitHub 中刪除。

以下是該工具聲稱要做的所有事情：

#首先，該軟體使用 Cloudflare 工作者載入腳本。在該工具的「如何使用」部分，開發人員已指示使用者在CLI 中執行以下命令：

在載入的腳本執行上述操作時，此處也發現了混淆代碼。對此進行去混淆處理後，發現這些是 PowerShell 程式碼，它們從 Cloudflare 工作人員載入惡意腳本，並從用戶 alexrybak0444 的 GitHub 儲存庫中載入文件，該用戶可能是威脅參與者或其中之一。這些也被報告和刪除（存檔版本在這裡）。

在此之後，該腳本最終創建了一個 Chromium 擴展程序，該擴展程序被認為是該惡意軟體活動的主要惡意組件。惡意軟體的有效負載似乎是某些連結或 URL，這些連結或 URL 用於透過推廣某些軟體或透過 Facebook 和 WhatsApp 訊息分發的某些賺錢計劃來透過關聯公司和推薦產生收入。

如果您碰巧在系統上安裝了Powershell Windows 工具箱，則可以刪除該工具在感染期間建立的下列元件：

• Microsoft\Windows\AppID\ VerifiedCert
• Microsoft\Windows\應用程式體驗\維護
• Microsoft\Windows\Services\CertPathCheck
• Microsoft\Windows\Services\CertPathw
• #Microsoft\ Windows\Serviceing\ComponentCleanup
• 微軟\Windows\服務\服務清理
• Microsoft\Windows\Shell\ObjectTask
• Microsoft\Windows\Clip\ServiceCleanup

同時刪除惡意腳本在感染期間建立的「C:\systemfile」隱藏資料夾。如果您正在執行系統還原，請確保使用不是由 Powershell Windows 工具箱本身完成的還原點，因為它不會從系統中刪除惡意軟體。

以上是協助在 Windows 11 上安裝 Google Play 的 Powershell Windows Toolbox 是惡意軟體的詳細內容。更多資訊請關注PHP中文網其他相關文章！