Waarschuwing: heb je de Play Store op Windows 11 geïnstalleerd? Lees dit nu

Magnus Otto
By Magnus Otto
Computer en smartphone
Schedel over code
solarseven/Shutterstock.com

In maart 2022 publiceerden we instructies voor het installeren van de Google Play Store op Windows 11. De methode betrof een open-sourceproject van GitHub. Helaas bevatte het malware. Hier is hoe het te repareren.

Laten we beginnen met het belangrijke deel:

Op dit moment hebben we geen reden om aan te nemen dat uw gevoelige informatie is gecompromitteerd.

Dit is wat er is gebeurd

Windows 11 introduceerde de mogelijkheid om Android-apps te installeren, maar niet via de Google Play Store. Natuurlijk gingen mensen op zoek naar manieren om dit te omzeilen. De tutorial die we hebben gepubliceerd, bevatte instructies om een ​​script te downloaden van een website van derden. In het weekend ontdekte een groep die met het script werkte, dat het malware bevatte.

Opmerking: Sommige andere websites hebben dit script ook aanbevolen. Zelfs als je de tutorial van een andere website hebt gevolgd, heb je mogelijk het script gedownload dat de malware bevatte.

Wat het script deed

Het script downloadde een tool – Windows Toolbox – die een functie bevat om de Google Play Store op uw Windows 11-apparaat te installeren. Helaas deed het script dat de Windows Toolbox downloadde meer dan het adverteerde. Het bevatte ook versluierde code die een reeks geplande taken zou opzetten en een browserextensie zou maken die gericht was op Chromium-gebaseerde browsers – Google Chrome, Microsoft Edge en Brave. Alleen Windows-pc’s waarvan de taal was ingesteld op Engels waren het doelwit.

De browserextensie werd vervolgens uitgevoerd in een “headless” browservenster op de achtergrond, waardoor deze effectief voor de gebruiker werd verborgen. Op dit moment denkt de groep die de malware ontdekte dat het primaire doel van de extensie advertentiefraude was, in plaats van iets sinisters.

De geplande taken voerden ook een handvol andere scripts uit die een paar verschillende doelen dienden. Men zou bijvoorbeeld de actieve taken op een pc in de gaten houden en de browser en extensie die wordt gebruikt voor advertentiefraude elke keer dat Taakbeheer wordt geopend, uitschakelen. Zelfs als je zou merken dat je systeem een ​​beetje laggy deed en zou gaan zoeken naar een probleem, zou je er geen vinden. Een afzonderlijke geplande taak, ingesteld om elke 9 minuten te worden uitgevoerd, zou dan de browser en extensie opnieuw opstarten.

De meest zorgwekkende paartaken die zijn gemaakt, zouden curl gebruiken om bestanden te downloaden van de oorspronkelijke website die het kwaadaardige script heeft afgeleverd, en vervolgens alles uit te voeren wat het heeft gedownload. De taken waren ingesteld om elke 9 minuten te worden uitgevoerd nadat een gebruiker zich had aangemeld bij zijn account. In theorie had dit kunnen worden gebruikt om updates voor de kwaadaardige code te leveren om functionaliteit toe te voegen aan de huidige malware, om volledig afzonderlijke malware te leveren, of iets anders dat de auteur wilde.

Gelukkig kwam degene die achter de aanval zat er niet bij – voor zover we weten, werd de curl-taak nooit gebruikt voor iets anders dan het downloaden van een testbestand met de naam “asd”, dat niets deed. Het domein waarvan de curl-taak bestanden heeft gedownload, is sindsdien verwijderd dankzij snelle actie van CloudFlare. Dat betekent dat zelfs als de malware nog steeds op uw computer draait, deze niets anders kan downloaden. Je hoeft het alleen maar te verwijderen en je bent klaar om te gaan.

Opmerking: Nogmaals: aangezien Cloudflare het domein heeft verwijderd, kan de malware geen extra software downloaden of opdrachten ontvangen.

Als je een gedetailleerd overzicht wilt lezen van hoe de malware-levering is uitgevoerd en wat elke taak doet, is deze beschikbaar op GitHub.

Hoe repareer je het

Er zijn nu twee opties beschikbaar om het te repareren. De eerste is om alle getroffen bestanden en geplande taken zelf handmatig te verwijderen. De tweede is om een ​​script te gebruiken dat is geschreven door de mensen die de malware in de eerste plaats hebben ontdekt.

Opmerking: Op dit moment zal geen enkele antivirussoftware deze malware detecteren of verwijderen als deze op uw computer wordt uitgevoerd.

Handmatig opruimen

We beginnen met het verwijderen van alle kwaadaardige taken en daarna verwijderen we alle bestanden en mappen die het heeft gemaakt.

Schadelijke taken verwijderen

De gemaakte taken zijn allemaal begraven onder de Microsoft > Windows-taken in Taakplanner. Hier leest u hoe u ze kunt vinden en verwijderen.

Klik op Start, typ vervolgens ‘Taakplanner’ in de zoekbalk en druk op Enter of klik op ‘Openen’.

U moet naar de Microsoft > Windows-taken navigeren. Het enige dat u hoeft te doen, is dubbelklikken op “Task Scheduler Library”, “Microsoft” en vervolgens op “Windows”, in die volgorde. Dat geldt ook voor het openen van een van de onderstaande taken.

Voorbeeld van Taakplanner-hiërarchie.

Zodra u daar bent, bent u klaar om taken te verwijderen. De malware creëert maar liefst 8 taken.

Opmerking: Vanwege de manier waarop de malware werkt, beschikt u mogelijk niet over alle vermelde services.

U moet een van deze die aanwezig zijn verwijderen:

  • AppID > VerifiedCert
  • Applicatie Ervaring > Onderhoud
  • Diensten > CertPathCheck
  • Diensten > CertPathw
  • Onderhoud > ComponentCleanup
  • Onderhoud > ServiceOpschonen
  • Shell > ObjectTask
  • Clip > ServiceOpschonen

Zodra u een schadelijke service in de Taakplanner identificeert, klikt u er met de rechtermuisknop op en klikt u vervolgens op “Verwijderen”.

Waarschuwing: Verwijder geen andere taken dan de precieze die we hierboven hebben genoemd. De meeste taken hier worden gemaakt door Windows zelf of door legitieme applicaties van derden.

Verwijder alle taken uit de bovenstaande lijst die u kunt vinden, en dan bent u klaar om door te gaan naar de volgende stap.

Schadelijke bestanden en mappen verwijderen

De malware maakt slechts een handvol bestanden en gelukkig bevinden ze zich in slechts drie mappen:

  • C:systeembestand
  • C:Windowssecuritypywinvera
  • C:Windowssecuritypywinveraa

Open eerst Verkenner. Klik bovenaan in Verkenner op ‘Bekijken’, ga naar ‘Weergeven’ en zorg ervoor dat ‘Verborgen items’ is aangevinkt.

Zoek naar een enigszins transparante map met de naam “systemfile”. Als het daar is, klik er dan met de rechtermuisknop op en klik op “Verwijderen”.

Bijwerken: Er zijn enkele rapporten dat de map met systeembestanden onzichtbaar blijft, zelfs als “Verborgen mappen weergeven” is ingeschakeld. We kunnen dit gedrag niet dupliceren, maar u moet het toch zelf uit voorzichtigheid controleren. Voer het pad “C:systemfile” in de adresbalk van Verkenner in en druk vervolgens op Enter. Als u de map kunt openen door het pad handmatig in te voeren, maar deze niet kunt bekijken in Verkenner, moet u het script gebruiken dat we hebben bijgevoegd om ervoor te zorgen dat de map en alle inhoud ervan worden verwijderd.

Waarschuwing: Zorg ervoor dat u de mappen die we gaan verwijderen correct identificeert. Het per ongeluk verwijderen van echte Windows-mappen kan problemen veroorzaken. Als u dat doet, herstel ze dan zo snel mogelijk vanuit de Prullenbak.

Nadat u de map “systemfiles” hebt verwijderd, dubbelklikt u op de Windows-map en bladert u totdat u de map “Security” vindt. U zoekt naar twee mappen: de ene heet “pywinvera” en de andere heet “pywinveraa”. Klik met de rechtermuisknop op elk van hen en klik vervolgens op ‘Verwijderen’.

Verwijder pywinvera en pywinveraa

Opmerking: Het verwijderen van bestanden en mappen in de Windows-map zal waarschijnlijk een waarschuwing veroorzaken dat beheerdersrechten nodig zijn. Als daarom wordt gevraagd, ga je gang en sta je het toe. (Zorg er echter voor dat u alleen de exacte bestanden en mappen verwijdert die we hier noemen.)

Je bent klaar – hoewel vervelend, dit specifieke stukje malware deed niet al te veel om zichzelf te beschermen.

Opruimen met een script

Dezelfde mensen met adelaarsogen die de malware in de eerste plaats identificeerden, besteedden ook het weekend aan het ontleden van de kwaadaardige code, het bepalen hoe het werkte en uiteindelijk het schrijven van een script om het te verwijderen. We willen het team bedanken voor hun inspanningen.

Je hebt gelijk om wantrouwend te zijn voor vertrouwen een andere hulpprogramma van GitHub gezien hoe we hier zijn gekomen. De omstandigheden zijn echter een beetje anders. In tegenstelling tot het script dat betrokken is bij het afleveren van de kwaadaardige code, is het verwijderingsscript kort en hebben we het handmatig gecontroleerd – elke regel. We hosten het bestand ook zelf om ervoor te zorgen dat het niet kan worden bijgewerkt zonder ons de mogelijkheid te geven handmatig te bevestigen dat het veilig is. We hebben dit script op meerdere machines getest om er zeker van te zijn dat het effectief was.

Download eerst het gezipte script van onze website en pak het script vervolgens uit waar u maar wilt.

Dan moet je scripts inschakelen. Klik op de Start-knop, typ “PowerShell” in de zoekbalk en klik op “Uitvoeren als beheerder”.

Typ of plak vervolgens set-executionpolicy remotesigned in het PowerShell-venster en druk op Y. U kunt vervolgens het PowerShell-venster sluiten.

Voer de opdracht in PowerShell in en druk vervolgens op Enter.

Navigeer naar uw downloadmap, klik met de rechtermuisknop op Removal.ps1 en klik op “Uitvoeren met PowerShell”. Het script controleert op schadelijke taken, mappen en bestanden op uw systeem.

Als ze aanwezig zijn, krijgt u de mogelijkheid om ze te verwijderen. Typ “Y” of “y” in het PowerShell-venster en druk vervolgens op Enter.

Het script bevestigde malware.

Het script verwijdert vervolgens alle rommel die door de malware is gemaakt.

Het script heeft malware verwijderd.

Zodra je het verwijderingsscript hebt uitgevoerd, zet je je scriptuitvoeringsbeleid terug naar de standaardinstelling. Open PowerShell als beheerder, voer in set-executionpolicy default en druk op Y. Sluit vervolgens het PowerShell-venster.

Wat zijn we aan het doen?

De situatie evolueert en we houden een oogje in het zeil. Er zijn nog steeds enkele onbeantwoorde vragen, zoals waarom sommige mensen melden dat een onverklaarbare OpenSSH-server wordt geïnstalleerd. Als er belangrijke nieuwe informatie aan het licht komt, zullen we u zeker op de hoogte houden.

Opmerking van de uitgever: In de afgelopen 15+ jaar hebben we gezien dat veel Windows-applicaties en browserextensies naar de donkere kant zijn gekeerd. We streven ernaar ongelooflijk voorzichtig te zijn en bevelen alleen betrouwbare oplossingen aan onze lezers aan. Vanwege het toenemende risico dat kwaadwillende actoren vormen voor open-sourceprojecten, zullen we nog ijveriger zijn met toekomstige aanbevelingen.

Daarnaast willen we nogmaals benadrukken dat er geen bewijs is dat uw gevoelige informatie is gecompromitteerd. Het domein waarvan de malware afhankelijk is, is nu verwijderd en de makers kunnen het niet langer beheren.

We willen nogmaals onze speciale dank uitspreken aan de mensen die hebben uitgezocht hoe de malware werkte en een script hebben gebouwd om het automatisch te verwijderen. In willekeurige volgorde:

  • Pabumake
  • BlockyTheDev
  • blubbablasen
  • Kay
  • Limn0
  • LinuxUserGD
  • Mikasa
  • OptioneelM
  • Sonnenläufer
  • Zergo0
  • Zuescho
  • Cirno
  • Harromann
  • Janmm14
  • luzeadev
  • XplLiciT
  • Zeryther

Nieuwste artikelen

Gerelateerde artikelen

Computer en smartphone

Je kunt (Nogmaals) Game Pass Ultimate krijgen voor $ 1

Magnus Otto -
Computer en smartphone

Hoe weet u of iemand uw nummer op iMessage / iPhone heeft geblokkeerd?

Magnus Otto -
Computer en smartphone

Nee, Windows gaat niet naar de cloud

Magnus Otto -
Computer en smartphone

XGIMI MoGo 2 Pro Projector Review: verander elke kamer in een theaterzaal

Magnus Otto -

Wetenschappelijk nieuws en kennis
Neem contact met ons op: khaobanmuang@gmail.com