「googleplay」恶意软件欺骗用户“能在Win11上安装启用GooglePlayStore”

精选评测好文

原文标题：恶意软件欺骗用户“能在Win11上安装启用GooglePlayStore”

IT 之家 4 月 18 日消息，微软去年推出了 Windows 11，最引人注目的新增功能是通过 Amazon AppStore 支持 Android 应用程序。用户可以通过一些努力来侧载应用程序，但也有几种非官方的方式来安装 Google Play 商店。

据 Bleeping Computer 报道，近期一款用于安装 Google Play 商店的第三方工具被发现是恶意软件。

这款名为 "Powershell Windows Toolbox" 的工具托管在 GitHub 上，用户 LinuxUserGD 注意到底层代码很神秘，并且包含了恶意代码。随后，用户 SuchByte 为该工具提出了 issue 。Powershell Windows Toolbox 已经从 GitHub 上被删除。

以下是该工具声称要做的所有事情：

首先，该软件使用 Cloudflare 工作者加载脚本。在该工具的 " 如何使用 " 部分，开发人员已指示用户在 CLI 中运行以下命令：

在加载的脚本执行上述操作时，此处还发现了混淆代码。对此进行去混淆处理后，发现这些是 PowerShell 代码，它们从 Cloudflare workers 加载恶意脚本，并从用户 alexrybak0444 的 GitHub 存储库中加载文件，该用户可能是威胁参与者或其中之一。这些也被报告和删除。

在此之后，该脚本最终会创建一个 Chromium 扩展程序，该扩展程序被认为是该恶意软件活动的主要恶意组件。恶意软件的有效负载似乎是某些链接或 URL，这些链接或 URL 被用于关联公司和推荐通过推广某些软件，或通过 Facebook 和 WhatsApp 消息分发的某些赚钱计划来产生收入。

如果你碰巧在系统上安装了 Powershell Windows Toolbox，则可以删除该工具在感染期间创建的以下组件：

MicrosoftWindowsAppIDVerifiedCert

MicrosoftWindowsApplication ExperienceMaintenance

MicrosoftWindowsServicesCertPathCheck

MicrosoftWindowsServicesCertPathw

MicrosoftWindowsServicingComponentCleanup

MicrosoftWindowsServicingServiceCleanup

MicrosoftWindowsShellObjectTask

MicrosoftWindowsClipServiceCleanup

同时删除恶意脚本在感染期间创建的 "C:systemfile" 隐藏文件夹。如果你正在执行系统还原，请确保使用不包括 Powershell Windows Toolbox 的还原点，因为它不会从系统中删除恶意软件。

文章推荐：高手过招！看追觅V12和V11同台竞技，性能提升只是常规操作<\a>

「iphone」爆料称苹果iPhone14Pro因受利益牵制而无缘向USB-C接口转进

「中国知网」九旬教授赵德馨再发声：知网道歉后从没跟我商量过论文上架的事

「芯片」英特尔至强SapphireRapids-SP曝光：350WPL1、单核3.7GHz

「adobe」微软、英特尔、索尼、Adobe等将制定新标准，打击视频、图片造假

「it之家」OPPOEncoAir2Pro耳机4月24日发布：巨型动圈，主动降噪

哎呦不错哦，赞！(688)

打赏 打赏给作者

郑重声明：本文“「googleplay」恶意软件欺骗用户“能在Win11上安装启用GooglePlayStore””，https://nmgjrty.com/shumacp_426794.html内容，由IT之家提供发布，请自行判断内容优劣。

上一篇：「荣耀」荣耀70Pro+曝光：搭载联发科天玑9000，全系京东方高频调光屏

下一篇：「gpu」致敬《辐射：全集》硬核玩家将迷你核弹游戏包装改造成电脑