Avez-vous installé Play Store sur Windows 11 ? lisez ceci maintenant

  • Principal
  • Nouvelles
  • Avez-vous installé Play Store sur Windows 11 ? lisez ceci maintenant

solaireseven

En mars 2022, nous avons publié des instructions pour installer la boutique Google Play sur Windows 11. La méthode impliquait un projet open source GitHub. Malheureusement, il contenait des logiciels malveillants. Voici comment y remédier.

Commençons par la partie importante :

À l'heure actuelle, nous n'avons aucune raison de croire que vos informations confidentielles ont été compromises.

C'est ce qui s'est passé

Windows 11 a introduit la possibilité d'installer des applications Android, mais pas via le Google Play Store. Naturellement, les gens ont commencé à chercher des moyens de contourner cela. Le didacticiel que nous avons publié contenait des instructions pour télécharger un script à partir d'un site Web tiers. Au cours du week-end, un groupe travaillant sur le script a découvert qu'il contenait des logiciels malveillants.

Noter: Certains autres sites Web ont également recommandé ce script. Même si vous avez suivi le didacticiel à partir d'un autre site Web, vous avez peut-être téléchargé le script contenant le logiciel malveillant.

Ce que le script a fait

Le script a téléchargé un outil, la Boîte à outils Windows, qui inclut une fonctionnalité permettant d'installer la boutique Google Play sur votre appareil Windows 11. Malheureusement, le script qui a téléchargé la Boîte à outils Windows a fait plus que prévu. Il contenait également du code obscurci qui configurerait une série de tâches planifiées et créerait une extension de navigateur ciblant les navigateurs basés sur Chromium : Google Chrome, Microsoft Edge et Brave. Ils ne ciblaient que les PC Windows avec leur langue définie sur l'anglais.

L'extension de navigateur s'est ensuite exécutée dans une fenêtre de navigateur 'sans tête' en arrière-plan, la cachant ainsi à l'utilisateur. À l'heure actuelle, le groupe qui a découvert le malware pense que l'objectif principal de l'extension était la fraude publicitaire, plutôt que quelque chose de plus sinistre.

Les tâches planifiées exécutaient également une poignée d'autres scripts qui servaient à des fins différentes. Par exemple, on surveillerait les tâches actives sur un PC et on tuerait le navigateur et l'extension utilisés pour la fraude publicitaire à chaque ouverture du Gestionnaire des tâches. Même s'il remarquait que son système fonctionnait un peu lentement et cherchait un problème, il ne le trouverait pas. Une tâche planifiée distincte, configurée pour s'exécuter toutes les 9 minutes, redémarrerait le navigateur et l'extension.

Les tâches homologues les plus préoccupantes créées utiliseraient curl pour télécharger des fichiers à partir du site Web d'origine qui a livré le script malveillant, puis exécuter ce qu'il a téléchargé. Les tâches ont été configurées pour s'exécuter toutes les 9 minutes après qu'un utilisateur se connecte à son compte. En théorie, cela aurait pu être utilisé pour fournir des mises à jour du code malveillant afin d'ajouter des fonctionnalités au logiciel malveillant actuel, de fournir un logiciel malveillant entièrement séparé ou tout ce que l'auteur souhaitait.

Heureusement, celui qui était derrière l'attaque n'y est pas arrivé; Pour autant que nous sachions, la tâche curl n'a jamais été utilisée pour autre chose que le téléchargement d'un fichier de test appelé 'asd', qui n'a rien fait. Le domaine à partir duquel la tâche curl a téléchargé les fichiers a depuis été supprimé grâce à l'action rapide de CloudFlare. Cela signifie que même si le logiciel malveillant est toujours en cours d'exécution sur votre ordinateur, vous ne pouvez rien télécharger d'autre. Vous n'avez plus qu'à l'enlever et le tour est joué.

Noter: Pour réitérer : depuis que Cloudflare a supprimé le domaine, le logiciel malveillant ne peut télécharger aucun logiciel supplémentaire ni recevoir de commandes.

Si vous souhaitez lire une ventilation détaillée de l'organisation de la diffusion des logiciels malveillants et de ce que fait chaque tâche, elle est disponible sur GitHub.

comment le réparer

Il y a deux options disponibles pour le moment pour le réparer. La première consiste à supprimer manuellement tous les fichiers concernés et les tâches planifiées vous-même. La seconde consiste à utiliser un script écrit par les personnes qui ont découvert le logiciel malveillant en premier lieu.

Noter: Pour le moment, aucun logiciel antivirus ne détectera ni ne supprimera ce logiciel malveillant s'il s'exécute sur votre machine.

nettoyage manuel

Nous commencerons par supprimer toutes les tâches malveillantes, puis nous supprimerons tous les fichiers et dossiers qu'il a créés.

Suppression de tâches malveillantes

Les tâches créées sont toutes masquées sous Microsoft > Tâches Windows dans le Planificateur de tâches. Voici comment les trouver et les supprimer.

Cliquez sur Démarrer, puis tapez « Planificateur de tâches » dans la barre de recherche et appuyez sur Entrée ou cliquez sur « Ouvrir ».

Cliquez sur le bouton Démarrer, tapez

Vous devez accéder à Microsoft > Tâches Windows. Tout ce que vous avez à faire est de double-cliquer sur 'Task Scheduler Library', 'Microsoft' puis 'Windows', dans cet ordre. Cela vaut également pour l'ouverture de l'une des tâches répertoriées ci-dessous.

Exemple de hiérarchie du planificateur de tâches.

Une fois que vous y êtes, vous êtes prêt à commencer à supprimer des tâches. Le logiciel malveillant crée jusqu'à 8 tâches.

Noter: En raison du fonctionnement du logiciel malveillant, vous n'aurez peut-être pas tous les services répertoriés.

Vous devez supprimer tous ceux qui sont présents :

  • ID d'application > Certificat vérifié
  • Expérience de l'application > Maintenance
  • Services>CertPathCheck
  • Services> CertPathw
  • Entretien > Nettoyage des composants
  • Service> Service Nettoyage
  • Shell > TaskObject
  • Clip> ServicioLimpieza

Une fois que vous avez identifié un service malveillant dans le Planificateur de tâches, cliquez dessus avec le bouton droit de la souris, puis appuyez sur 'Supprimer'.

Avertissement: Ne supprimez aucune autre tâche que celles que nous avons mentionnées ci-dessus. La plupart des tâches ici sont créées par Windows lui-même ou par des applications tierces légitimes.

Faites un clic droit sur la tâche, puis cliquez sur

Éliminez toutes les tâches de la liste ci-dessus que vous pouvez trouver, puis vous êtes prêt à passer à l'étape suivante.

Suppression des fichiers et dossiers malveillants

Le logiciel malveillant ne crée qu'une poignée de fichiers et, heureusement, ils sont contenus dans seulement trois dossiers :

  • C : fichiers système
  • C:Windowsseguridadpywinvera
  • C:Windowsseguridadpywinveraa

Tout d'abord, ouvrez l'Explorateur de fichiers. En haut de l'Explorateur de fichiers, cliquez sur 'Afficher', allez sur 'Afficher', puis assurez-vous que 'Éléments masqués' est coché.

Cliquez sur

Recherchez un dossier légèrement transparent appelé 'systemfile'. S'il s'y trouve, cliquez dessus avec le bouton droit de la souris et appuyez sur 'Supprimer'.

Avertissement: Assurez-vous d'identifier correctement les dossiers que nous sommes sur le point de supprimer. La suppression accidentelle de vrais dossiers Windows peut causer des problèmes. Si c'est le cas, restaurez-les à partir de la corbeille dès que possible.

Le bouton droit de la souris

Une fois que vous avez supprimé le dossier 'fichiers système', double-cliquez sur le dossier Windows, puis faites défiler jusqu'à ce que vous trouviez le dossier 'Sécurité'. Vous recherchez deux dossiers : l'un s'appelle 'pywinvera' et l'autre s'appelle 'pywinveraa'. Faites un clic droit sur chacun d'eux puis cliquez sur 'Supprimer'.

Supprimer pywinvera et pywinveraa

Noter: La suppression de fichiers et de dossiers dans le dossier Windows entraînera probablement un avertissement concernant la nécessité de privilèges administratifs. Si vous y êtes invité, continuez et autorisez-le. (Cependant, assurez-vous de ne supprimer que les fichiers et dossiers exacts que nous mentionnons ici.)

C'est fini : Bien qu'ennuyeux, ce logiciel malveillant en particulier n'a pas fait grand-chose pour se protéger.

Nettoyer avec un script

Les mêmes personnes aux yeux d'aigle qui ont identifié le logiciel malveillant en premier lieu ont également passé le week-end à disséquer le code malveillant, à déterminer son fonctionnement et, finalement, à écrire un script pour le supprimer. Nous tenons à remercier l'équipe pour ses efforts.

Vous avez raison de vous méfier de la confiance autre Utilitaire GitHub compte tenu de la façon dont nous sommes arrivés ici. Cependant, les circonstances sont un peu différentes. Contrairement au script impliqué dans la livraison du code malveillant, le script de suppression est court et nous l'avons audité manuellement, chaque ligne. Nous hébergeons également le fichier nous-mêmes pour nous assurer qu'il ne peut pas être mis à jour sans nous donner la possibilité de confirmer manuellement qu'il est sécurisé. Nous avons testé ce script sur plusieurs machines pour nous assurer qu'il était efficace.

Tout d'abord, téléchargez le script compressé à partir de notre site Web, puis extrayez-le où vous le souhaitez.

Vous devez donc activer les scripts. Cliquez sur le bouton Démarrer, tapez « PowerShell » dans la barre de recherche et cliquez sur « Exécuter en tant qu'administrateur ».

Cliquez sur

Tapez ou collez ensuite |_+_| dans la fenêtre PowerShell et appuyez sur Y. Ensuite, vous pouvez fermer la fenêtre PowerShell.

Entrez la commande dans PowerShell, puis appuyez sur Entrée.

Accédez à votre dossier de téléchargements, cliquez avec le bouton droit sur Removal.ps1 et cliquez sur 'Exécuter avec PowerShell'. Le script recherchera les tâches, dossiers et fichiers malveillants sur votre système.

Cliquez sur

S'ils sont présents, vous aurez la possibilité de les supprimer. Tapez 'Y' ou 'y' dans la fenêtre PowerShell, puis appuyez sur Entrée.

Le script a confirmé le malware.

Le script supprimera alors tous les fichiers indésirables créés par le logiciel malveillant.

Le script a supprimé Malware.

Après avoir exécuté le script de suppression, réinitialisez la stratégie d'exécution du script aux paramètres par défaut. Ouvrez PowerShell en tant qu'administrateur, entrez |__+_| et appuyez sur Y. Fermez ensuite la fenêtre PowerShell.

Ce que nous faisons

La situation évolue et nous gardons un œil sur les choses au fur et à mesure qu'elles évoluent. Il reste encore des questions sans réponse, telles que la raison pour laquelle certaines personnes signalent l'installation d'un serveur OpenSSH sans explication. Si de nouvelles informations importantes sont révélées, nous veillerons à vous tenir au courant.

Note de l'éditeur : Au cours des 15 dernières années et plus, nous avons vu de nombreuses applications Windows et extensions de navigateur se tourner vers le côté obscur. Nous nous efforçons d'être extrêmement prudents et ne recommandons que des solutions fiables à nos lecteurs. En raison du risque croissant que représentent les acteurs malveillants pour les projets open source, nous serons encore plus diligents avec les futures recommandations.

De plus, nous tenons à souligner une fois de plus qu'il n'y a aucune preuve que vos informations confidentielles ont été compromises. Le domaine dont dépend le logiciel malveillant a maintenant été supprimé et ses créateurs ne peuvent plus le contrôler.

Encore une fois, nous tenons à remercier tout particulièrement les personnes qui ont découvert le fonctionnement du logiciel malveillant et créé un script pour le supprimer automatiquement. Dans aucun ordre particulier:

  • Pabumake
  • BlockyTheDev
  • blubbablasen
  • avec
  • Limn0
  • LinuxUserGD
  • Mikasa
  • FacultatifM
  • marcheur du soleil
  • zergo0
  • Zuescho
  • Cirno
  • Harromann
  • Janmm14
  • luzeadev
  • XplLiciT
  • Zéryther
Qu'est-ce que tu penses?