有用户发现,一项看似可在Windows 11上安装Google Play Store的好工具,其实是在用户机器上安装恶意程序的木马。
由于Windows 11官方工具只能安装Amazon Appstore上的Android App,许多人希望找到安装Google Play Store的工具。也有人曾在GitHub上分享安装Play Store的文件及安装指引。但是这类工具也可能是黑客布下的陷阱。
近日GitHub上有人发布名为Windows Toolbox的工具,号称可清除Windows 11的垃圾软件、启动Office和Windows,及在Windows 11安装Google Play Store。不过多名研究人员发现,Windows Toolbox其实是木马程序,包含混淆过的恶意PowerShell script,一旦安装到Windows计算机将植入木马点击程序,可显示恶意广告,也可能安装其他恶意程序。
这个恶意程序存储库包含一些压缩执行文件、Python程序等文件,在用户安装后,表面上它的确会执行它描述的功能,但它会创建隐藏文件夹(c:\systemfile)以复制Chrome、Edge及Brave的资料。同时它还会从Cloudflare Workers下载恶意PowerShell script,以便下载指令及恶意文件。Bleeping Computer报道,这招很高明,因为这项服务很少被用来传播恶意程序,不容易被杀毒引擎侦测出来。
这个恶意程序还无法被完全破解,不过似乎是锁定美国用户。感染特征包括它会在Windows创建调度任务以复制文件、关闭行程,并且在系统文件文件夹安装Python程序,文件名可能为C:\Windows\security\pywinvera、C:\Windows\security\pywinveraa及C:\Windows\security\winver.png。