Avez-vous installé le Play Store sur Windows 11 ? Lisez ceci maintenant

solarseven/Shutterstock.com

En mars 2022, nous avons publié des instructions pour installation de la boutique Google Play sur Windows 11. La méthode impliquait un projet open-source de GitHub. Malheureusement, il contenait des logiciels malveillants. Voici comment y remédier.

Commençons par la partie importante :

À ce stade, nous n’avons aucune raison de croire que l’une de vos informations sensibles a été compromise.

Voici ce qui s’est passé

Windows 11 a introduit la possibilité de installer des applications Android, mais pas via le Google Play Store. Naturellement, les gens ont commencé à chercher des moyens de contourner cela. Le didacticiel que nous avons publié contenait des instructions pour télécharger un script à partir d’un site Web tiers. Au cours du week-end, un groupe travaillant avec le script a découvert qu’il contenait des logiciels malveillants.

Noter: Certains autres sites Web ont également recommandé ce script. Même si vous avez suivi le didacticiel d’un autre site Web, vous avez peut-être téléchargé le script contenant le logiciel malveillant.

Ce que le script a fait

Le script a téléchargé un outil – Windows Toolbox – qui inclut une fonctionnalité pour installer le Google Play Store sur votre appareil Windows 11. Malheureusement, le script qui a téléchargé la Boîte à outils Windows a fait plus que prévu. Il contenait également du code obscurci qui configurerait une série de tâches planifiées et créerait une extension de navigateur ciblant les navigateurs basés sur Chromium – Google Chrome, Microsoft Edge et Brave. Seuls les PC Windows dont la langue était définie sur l’anglais étaient ciblés.

L’extension de navigateur a ensuite été exécutée dans une fenêtre de navigateur “sans tête” en arrière-plan, la cachant ainsi à l’utilisateur. À l’heure actuelle, le groupe qui a découvert le malware pense que l’objectif principal de l’extension était la fraude publicitaire, plutôt que quelque chose de plus sinistre.

Les tâches planifiées exécutaient également une poignée d’autres scripts qui servaient à des fins différentes. Par exemple, on surveillerait les tâches actives sur un PC et on tuerait le navigateur et l’extension utilisés pour la fraude publicitaire à chaque fois que le Gestionnaire des tâches était ouvert. Même si vous remarquiez que votre système agissait un peu à la traîne et que vous cherchiez un problème, vous n’en trouveriez pas. Une tâche planifiée distincte, configurée pour s’exécuter toutes les 9 minutes, redémarrerait alors le navigateur et l’extension.

Les tâches de paires les plus préoccupantes créées utiliseraient boucle pour télécharger des fichiers à partir du site Web d’origine qui a livré le script malveillant, puis exécuter tout ce qu’il a téléchargé. Les tâches ont été configurées pour s’exécuter toutes les 9 minutes après qu’un utilisateur se soit connecté à son compte. En théorie, cela aurait pu être utilisé pour fournir des mises à jour du code malveillant afin d’ajouter des fonctionnalités au logiciel malveillant actuel, de fournir un logiciel malveillant totalement distinct ou tout ce que l’auteur souhaitait.

Heureusement, celui qui était derrière l’attaque n’y est pas arrivé – pour autant que nous sachions, la tâche curl n’a jamais été utilisée pour autre chose que pour télécharger un fichier de test nommé “asd”, qui n’a rien fait. Le domaine à partir duquel la tâche curl a téléchargé les fichiers a depuis été supprimé grâce à une action rapide de CloudFlare. Cela signifie que même si le logiciel malveillant est toujours en cours d’exécution sur votre ordinateur, il ne peut rien télécharger d’autre. Vous n’avez qu’à l’enlever, et le tour est joué.

Noter: Pour réitérer : comme Cloudflare a supprimé le domaine, le logiciel malveillant ne peut télécharger aucun logiciel supplémentaire ni recevoir de commandes.

Si vous êtes intéressé à lire une ventilation détaillée de la manière dont la livraison du logiciel malveillant a été organisée et de ce que fait chaque tâche, il est disponible sur GitHub.

Comment le réparer

Il existe actuellement deux options pour y remédier. La première consiste à supprimer vous-même manuellement tous les fichiers et tâches planifiées concernés. La seconde consiste à utiliser un script écrit par les personnes qui ont découvert le logiciel malveillant en premier lieu.

Noter: Pour le moment, aucun logiciel antivirus ne détectera ni ne supprimera ce logiciel malveillant s’il s’exécute sur votre ordinateur.

Nettoyer manuellement

Nous commencerons par supprimer toutes les tâches malveillantes, puis nous supprimerons tous les fichiers et dossiers créés.

Suppression des tâches malveillantes

Les tâches créées sont toutes enterrées sous les tâches Microsoft > Windows dans le Planificateur de tâches. Voici comment les trouver et les supprimer.

Cliquez sur Démarrer, puis tapez “Planificateur de tâches” dans la barre de recherche et appuyez sur Entrée ou cliquez sur “Ouvrir”.

Cliquez sur le bouton Démarrer, tapez "Planificateur de tâches" dans la barre de recherche, puis cliquez sur "Ouvrir."

Vous devez naviguer dans les tâches Microsoft > Windows. Tout ce que vous avez à faire est de double-cliquer sur « Bibliothèque du planificateur de tâches », « Microsoft », puis sur « Windows », dans cet ordre. Cela vaut également pour l’ouverture de l’une des tâches répertoriées ci-dessous.

Exemple de hiérarchie du planificateur de tâches.

Une fois que vous y êtes, vous êtes prêt à commencer à supprimer des tâches. Le malware crée jusqu’à 8 tâches.

Noter: En raison du fonctionnement du logiciel malveillant, vous ne disposez peut-être pas de tous les services répertoriés.

Vous devez supprimer tous ceux qui sont présents :

  • ID d’application > VerifiedCert
  • Expérience d’application > Maintenance
  • Services > CertPathCheck
  • Services > CertPathw
  • Entretien > Nettoyage des composants
  • Maintenance > ServiceCleanup
  • Shell > ObjectTask
  • Extrait > ServiceCleanup

Une fois que vous avez identifié un service malveillant dans le planificateur de tâches, faites un clic droit dessus, puis appuyez sur “Supprimer”.

Avertissement: Ne supprimez aucune autre tâche en dehors de celles que nous avons mentionnées ci-dessus. La plupart des tâches ici sont créées par Windows lui-même ou par des applications tierces légitimes.

Cliquez avec le bouton droit sur la tâche, puis cliquez sur "Supprimer."

Supprimez toutes les tâches de la liste ci-dessus que vous pouvez trouver, puis vous êtes prêt à passer à l’étape suivante.

Suppression des fichiers et dossiers malveillants

Le logiciel malveillant ne crée qu’une poignée de fichiers et, heureusement, ils ne sont contenus que dans trois dossiers :

  • C:fichierssystème
  • C:Windowssecuritypywinvera
  • C:Windowssecuritypywinveraa

Tout d’abord, ouvrez l’Explorateur de fichiers. En haut de l’explorateur de fichiers, cliquez sur “Afficher”, allez sur “Afficher”, puis assurez-vous que “Éléments cachés” est coché.

Cliquez sur "Voir," puis passez la souris sur "Spectacle," puis cochez "Objets cachés."

Recherchez un dossier légèrement transparent nommé “systemfile”. S’il est là, faites un clic droit dessus et appuyez sur “Supprimer”.

Avertissement: Assurez-vous d’identifier correctement les dossiers que nous sommes sur le point de supprimer. La suppression accidentelle de vrais dossiers Windows peut causer des problèmes. Si vous faites cela, restaurez-les à partir de la corbeille dès que possible.

Clic-droit "fichier système" s'il est présent, cliquez sur le bouton Supprimer.

Une fois que vous avez supprimé le dossier “systemfiles”, double-cliquez sur le dossier Windows, puis faites défiler jusqu’à ce que vous trouviez le dossier “Sécurité”. Vous recherchez deux dossiers : l’un s’appelle “pywinvera” et l’autre s’appelle “pywinveraa”. Faites un clic droit sur chacun d’eux, puis cliquez sur “Supprimer”.

Supprimer pywinvera et pywinveraa

Noter: La suppression de fichiers et de dossiers dans le dossier Windows déclenchera probablement un avertissement concernant le besoin de privilèges administratifs. Si vous y êtes invité, continuez et autorisez-le. (Assurez-vous de supprimer uniquement les fichiers et dossiers exacts que nous mentionnons ici, cependant.)

Vous avez terminé – bien qu’ennuyeux, ce logiciel malveillant particulier n’a pas fait grand-chose pour se protéger.

Nettoyer avec un script

Les mêmes personnes aux yeux d’aigle qui ont identifié le logiciel malveillant en premier lieu ont également passé le week-end à disséquer le code malveillant, à déterminer son fonctionnement et, finalement, à écrire un script pour le supprimer. Nous voudrions saluer le équipe pour leurs efforts.

Tu as raison de te méfier de faire confiance une autre Un utilitaire de GitHub considérant comment nous en sommes arrivés là. Cependant, les circonstances sont un peu différentes. Contrairement au script impliqué dans la livraison du code malveillant, le script de suppression est court et nous l’avons audité manuellement – chaque ligne. Nous hébergeons également le fichier nous-mêmes pour nous assurer qu’il ne peut pas être mis à jour sans nous donner la possibilité de confirmer manuellement qu’il est sûr. Nous avons testé ce script sur plusieurs machines pour nous assurer qu’il était efficace.

Première, téléchargez le script compressé depuis notre site Webet puis extraire le script où tu veux.

Ensuite, vous devez activer les scripts. Cliquez sur le bouton Démarrer, tapez “PowerShell” dans la barre de recherche, puis cliquez sur “Exécuter en tant qu’administrateur.”

Cliquez sur "Exécuter en tant qu'administrateur."

Tapez ou collez ensuite set-executionpolicy remotesigned dans la fenêtre PowerShell et appuyez sur Y. Vous pouvez ensuite fermer la fenêtre PowerShell.

Entrez la commande dans PowerShell, puis appuyez sur Entrée.

Accédez à votre dossier de téléchargements, cliquez avec le bouton droit sur Removal.ps1 et cliquez sur “Exécuter avec PowerShell”. Le script recherchera les tâches, dossiers et fichiers malveillants sur votre système.

Cliquez sur "Exécutez avec PowerShell."

S’ils sont présents, vous aurez la possibilité de les supprimer. Tapez “Y” ou “y” dans la fenêtre PowerShell, puis appuyez sur Entrée.

Le script a confirmé le malware.

Le script supprimera alors tous les fichiers indésirables créés par le logiciel malveillant.

Le script a supprimé Malware.

Une fois que vous avez exécuté le script de suppression, remettez votre stratégie d’exécution de script au paramètre par défaut. Ouvrez PowerShell en tant qu’administrateur, entrez set-executionpolicy default et appuyez sur Y. Fermez ensuite la fenêtre PowerShell.

Ce que nous faisons

La situation évolue, et nous gardons un œil sur les choses comme elle le fait. Il y a encore des questions sans réponse – comme pourquoi certaines personnes signalent l’installation d’un serveur OpenSSH inexpliqué. Si de nouvelles informations importantes sont révélées, nous ne manquerons pas de vous tenir au courant.

Note de l’éditeur: Au cours des 15 dernières années et plus, nous avons vu de nombreuses applications Windows et extensions de navigateur se tourner vers le côté obscur. Nous nous efforçons d’être incroyablement prudents et ne recommandons que des solutions fiables à nos lecteurs. En raison du risque croissant que représentent les acteurs malveillants pour les projets open source, nous serons encore plus diligents avec les futures recommandations.

De plus, nous tenons à souligner une fois de plus qu’il n’y a aucune preuve que vos informations sensibles ont été compromises. Le domaine dont dépend le logiciel malveillant a maintenant été supprimé et ses créateurs ne peuvent plus le contrôler.

Encore une fois, nous tenons à remercier tout particulièrement les personnes qui ont découvert le fonctionnement du logiciel malveillant et créé un script pour le supprimer automatiquement. Dans aucun ordre particulier:

  • Babumake
  • BlockyTheDev
  • blubbablasen
  • Kay
  • Limn0
  • LinuxUserGD
  • Mikasa
  • FacultatifM
  • Sonnenläufer
  • Zergo0
  • Zuescho
  • Cirno
  • Harromann
  • Janmm14
  • luzeadev
  • XplLiciT
  • Zéro autre

Leave a Comment