آیا پلی استور را روی ویندوز ۱۱ نصب کرده اید؟ اکنون این را بخوانید


جمجمه کد بالا
solarseven / Shutterstock.com

در مارس ۲۰۲۲، دستورالعمل‌هایی را برای نصب فروشگاه Google Play در ویندوز ۱۱ منتشر کردیم. این روش شامل یک پروژه منبع باز از GitHub بود. متأسفانه حاوی بدافزار بود. در اینجا نحوه رفع آن آورده شده است.

بیایید با بخش مهم شروع کنیم:

در حال حاضر، ما هیچ دلیلی نداریم که باور کنیم هر یک از اطلاعات حساس شما به خطر افتاده است.

این چیزی است که اتفاق افتاده است

ویندوز ۱۱ قابلیت نصب برنامه های اندروید را معرفی کرد، اما نه از طریق فروشگاه Google Play. به طور طبیعی، مردم شروع به جستجوی راه هایی برای دور زدن این موضوع کرده اند. آموزشی که ما ارسال کردیم حاوی دستورالعمل هایی برای دانلود یک اسکریپت از یک وب سایت شخص ثالث بود. در آخر هفته، گروهی که روی این اسکریپت کار می کردند متوجه شدند که این فیلمنامه حاوی بدافزار است.

قابل توجه: برخی از سایت های دیگر نیز این اسکریپت را توصیه کرده اند. حتی اگر آموزش وب سایت دیگری را دنبال کرده باشید، ممکن است اسکریپت حاوی بدافزار را دانلود کرده باشید.

فیلمنامه چه کار کرد؟

این اسکریپت یک ابزار – Windows Toolbox – را دانلود کرده است که شامل یک ویژگی برای نصب فروشگاه Google Play در دستگاه ویندوز ۱۱ شما است. متأسفانه، اسکریپتی که جعبه ابزار ویندوز را دانلود کرد، بیشتر از آنچه که تبلیغ شده بود انجام داد. همچنین حاوی یک کد مبهم بود که یک سری وظایف برنامه ریزی شده را تنظیم می کرد و یک برنامه افزودنی مرورگر ایجاد می کرد که مرورگرهای مبتنی بر Chromium – Google Chrome، Microsoft Edge و Brave را هدف قرار می داد. فقط رایانه های شخصی ویندوزی با زبان انگلیسی مورد هدف قرار گرفتند.

افزونه مرورگر سپس در یک پنجره مرورگر بدون سر در پس‌زمینه اجرا شد و عملاً آن را از کاربر پنهان می‌کرد. در این زمان، گروهی که این بدافزار را کشف کردند، بر این باورند که هدف اصلی افزونه، کلاهبرداری تبلیغاتی است، نه چیز جدی‌تر.

Scheduled Tasks همچنین چند اسکریپت دیگر را اجرا کرد که اهداف مختلفی را دنبال می کنند. به عنوان مثال، هر زمان که مدیر وظیفه باز می شود، می توان وظایف فعال را در رایانه نظارت کرد و مرورگر و برنامه افزودنی مورد استفاده برای کلاهبرداری تبلیغاتی را از بین برد. حتی اگر متوجه شدید که سیستم شما کمی کند عمل می کند و به دنبال مشکلی هستید، مشکلی را پیدا نمی کنید. یک کار برنامه ریزی شده جداگانه که هر ۹ دقیقه یکبار اجرا می شود، مرورگر و برنامه افزودنی را راه اندازی مجدد می کند.

کارهای جفت نگران‌کننده‌تر ایجاد شده ممکن است از curl برای دانلود فایل‌ها از وب‌سایت اصلی که اسکریپت مخرب را تحویل می‌دهد، استفاده کند، سپس هر آنچه دانلود شده را اجرا کند. پس از اینکه کاربر وارد حساب کاربری خود شد، Tasks هر ۹ دقیقه یکبار اجرا می شود. در تئوری، این می‌توانست برای ارائه به‌روزرسانی‌های کد مخرب برای افزودن عملکرد به بدافزار موجود، یا ارائه بدافزار کاملاً مجزا یا هر چیز دیگری که نویسنده می‌خواهد استفاده شود.

خوشبختانه، هر کسی که پشت حمله بود به آنجا نرسید – تا آنجا که ما می دانیم، کار curl هرگز برای چیزی بیشتر از دانلود یک فایل آزمایشی به نام “asd” استفاده نمی شد، که هیچ کاری انجام نمی داد. دامنه‌ای که فایل‌ها برای کار curl از آن دانلود شده‌اند، به لطف اقدام سریع CloudFlare حذف شده است. این بدان معناست که حتی اگر بدافزار همچنان روی دستگاه شما در حال اجرا باشد، نمی تواند چیز دیگری را دانلود کند. شما فقط باید آن را حذف کنید، و شما آماده هستید.

قابل توجه: تکرار: از آنجایی که Cloudflare دامنه را حذف کرده است، بدافزار نمی تواند نرم افزار اضافی را دانلود کند یا دستوری دریافت کند.

اگر علاقه مند به خواندن جزئیاتی از نحوه ارائه بدافزار و کارهایی هستید که هر کار انجام می دهد، در GitHub در دسترس است.

چطوری میشه اینو تعمیر کرد

اکنون دو گزینه برای رفع آن وجود دارد. اولین مورد این است که خودتان به صورت دستی تمام فایل های آسیب دیده و وظایف برنامه ریزی شده را حذف کنید. دوم استفاده از اسکریپت نوشته شده توسط افرادی است که بدافزار را در وهله اول کشف کرده اند.

قابل توجه: در حال حاضر، اگر این بدافزار در دستگاه شما اجرا شود، هیچ نرم افزار آنتی ویروسی این بدافزار را شناسایی یا حذف نمی کند.

تمیز کردن دستی

ما با حذف تمام کارهای مخرب شروع می کنیم، سپس همه فایل ها و پوشه هایی را که ایجاد کرده اید حذف می کنیم.

کارهای مخرب را حذف کنید

همه وظایف ایجاد شده در Microsoft > Windows Tasks در Task Scheduler دفن می شوند. در اینجا نحوه یافتن و حذف آنها آورده شده است.

روی Start کلیک کنید، “Task Scheduler” را در نوار جستجو تایپ کنید و Enter را فشار دهید یا روی Open کلیک کنید.

روی دکمه Start کلیک کنید، تایپ کنید "جدول وظایف" در نوار جستجو، سپس روی ضربه بزنید "باز می شود."

باید به مسیر Microsoft > Windows Tasks بروید. تنها کاری که باید انجام دهید این است که بر روی “Task Scheduler Library”، “Microsoft” دوبار کلیک کنید و سپس به ترتیب روی “Windows” کلیک کنید. این همچنین برای باز کردن هر یک از وظایف ذکر شده در زیر اعمال می شود.

نمونه ای از سلسله مراتب زمان بندی وظایف.

هنگامی که آنجا هستید، آماده شروع حذف وظایف هستید. این بدافزار حداکثر ۸ کار ایجاد می کند.

قابل توجه: با توجه به نحوه عملکرد بدافزار، ممکن است همه خدمات فهرست شده را نداشته باشید.

شما باید هر یک از موارد موجود را حذف کنید:

  • شناسه برنامه > VerifiedCert
  • تجربه برنامه > تعمیر و نگهداری
  • خدمات > CertPathCheck
  • خدمات > CertPathw
  • Service> ComponentCleanup
  • خدمات > خدمات نظافتی
  • Shell > ObjectTask
  • کلیپ > خدمات نظافتی

هنگامی که یک سرویس مخرب را در Task Scheduler شناسایی کردید، روی آن کلیک راست کرده و Delete را فشار دهید.

هشدار: هیچ کار دیگری غیر از وظایف خاصی که در بالا ذکر کردیم را حذف نکنید. بسیاری از وظایف در اینجا توسط خود ویندوز یا توسط برنامه های شخص ثالث قانونی ایجاد می شود.

روی وظیفه کلیک راست کرده و سپس کلیک کنید "حذف."

تمام کارهایی را که می توانید از لیست بالا پیدا کنید حذف کنید و سپس آماده رفتن به مرحله بعدی هستید.

فایل ها و پوشه های مخرب را حذف کنید

این بدافزار تنها چند فایل ایجاد می کند و خوشبختانه آنها فقط در سه پوشه قرار دارند:

  • A: فایل های سیستم
  • C:\Windows\Security\pywinvera
  • C:\Windows\Security\pywinveraa

ابتدا File Explorer را باز کنید. در بالای فایل اکسپلورر، روی View کلیک کنید، به Show بروید و سپس مطمئن شوید که موارد مخفی تیک خورده است.

کلیک "نظر،" سپس ماوس را روی آن نگه دارید "نمایش می دهد،" سپس تیک بزنید "آیتم های پنهان"

به دنبال یک پوشه شفاف به نام “فایل سیستم” باشید. اگر وجود دارد، روی آن کلیک راست کرده و Delete را بزنید.

هشدار: مطمئن شوید که پوشه هایی که می خواهیم حذف کنیم به درستی انتخاب شده اند. حذف تصادفی پوشه های واقعی ویندوز می تواند مشکلاتی ایجاد کند. اگر چنین کردید، در اسرع وقت آنها را از سطل بازیافت بازیابی کنید.

کلیک راست "فایل سیستمی" در صورت وجود، روی دکمه حذف کلیک کنید.

پس از حذف پوشه System Files، روی پوشه Windows دوبار کلیک کنید، سپس اسکرول کنید تا پوشه Security را پیدا کنید. شما به دنبال دو پوشه هستید: یکی به نام “pywinvera” و دیگری به نام “pywinveraa”. روی هر کدام از آنها کلیک راست کرده و سپس روی Delete کلیک کنید.

pywinvera و pywinveraa را حذف کنید

قابل توجه: حذف فایل‌ها و پوشه‌ها در پوشه ویندوز احتمالاً هشداری در مورد نیاز به امتیازات مدیریتی ایجاد می‌کند. اگر از شما خواسته شد، ادامه دهید و آن را رها کنید. (حتما فقط فایل ها و پوشه هایی را که در اینجا ذکر می کنیم حذف کنید.)

کار شما تمام شده است – در حالی که این بدافزار آزاردهنده بود، کار زیادی برای محافظت از خود انجام نداد.

تمیز کردن با اسکریپت

همان افرادی که در وهله اول درباره این بدافزار یاد گرفتند، آخر هفته را نیز صرف تجزیه و تحلیل کدهای مخرب، تعیین نحوه کارکرد آن و در نهایت نوشتن اسکریپتی برای حذف آن کردند. ما می خواهیم به خاطر تلاش های تیم فریاد بزنیم.

حق با شماست که مراقب اعتماد باشید دیگر یک مزیت از GitHub با توجه به اینکه چگونه به اینجا رسیدیم. با این حال، شرایط تا حدودی متفاوت است. برخلاف اسکریپت درگیر در ارائه کد مخرب، اسکریپت حذف کوتاه است و ما آن را به صورت دستی بررسی کردیم – هر خط. ما همچنین خودمان فایل را میزبانی می‌کنیم تا مطمئن شویم که نمی‌توان آن را به‌روزرسانی کرد، بدون اینکه به ما این فرصت را بدهیم که به صورت دستی ایمن بودن آن را بررسی کنیم. ما این اسکریپت را روی چندین دستگاه آزمایش کردیم تا مطمئن شویم موثر است.

ابتدا اسکریپت فشرده را از وب سایت ما دانلود کنید، سپس اسکریپت را در هر جایی که می خواهید استخراج کنید.

سپس باید اسکریپت ها را فعال کنید. روی دکمه Start کلیک کنید، “PowerShell” را در نوار جستجو تایپ کنید و سپس روی Run as administrator کلیک کنید.

کلیک "به عنوان مدیر اجرا شود."

سپس تایپ کنید یا بچسبانید set-executionpolicy remotesigned در پنجره PowerShell، و Y را فشار دهید. سپس می توانید پنجره PowerShell را ببندید.

دستور را در PowerShell وارد کنید، سپس Enter را فشار دهید.

به پوشه Downloads بروید، روی Removal.ps1 راست کلیک کنید و روی Run with PowerShell کلیک کنید. اسکریپت وظایف، پوشه ها و فایل های مخرب سیستم شما را اسکن می کند.

کلیک "با PowerShell اجرا کنید."

اگر آنها وجود داشته باشند، به شما این امکان داده می شود که آنها را حذف کنید. “Y” یا “y” را در پنجره PowerShell تایپ کنید، سپس Enter را فشار دهید.

اسکریپت وجود بدافزار را تایید کرد.

سپس اسکریپت تمام فایل های ناخواسته ایجاد شده توسط بدافزار را حذف می کند.

اسکریپت بدافزار را حذف کرد.

پس از اجرای اسکریپت حذف، سیاست اجرای اسکریپت را به تنظیمات پیش فرض برگردانید. PowerShell را به عنوان مدیر باز کنید، وارد شوید set-executionpolicy default Y را فشار دهید. سپس پنجره PowerShell را ببندید.

آنها چه میکردند

شرایط در حال توسعه است و ما در حال تماشای اتفاقات هستیم. هنوز برخی از سوالات بی پاسخ وجود دارد – مانند اینکه چرا برخی از افراد از نصب یک سرور OpenSSH غیرقابل توضیح گزارش دادند. اگر اطلاعات مهم جدیدی منتشر شد، مطمئن شوید که شما را در جریان قرار خواهیم داد.

یادداشت ویراستار: در طول ۱۵ سال گذشته، ما شاهد بوده ایم که بسیاری از برنامه های ویندوز و افزونه های مرورگر به سمت تاریک تبدیل شده اند. ما سعی می کنیم بسیار مراقب باشیم و تنها راه حل های قابل اعتماد را به خوانندگان خود توصیه می کنیم. به دلیل خطرات فزاینده ای که عوامل مخرب برای پروژه های منبع باز ایجاد می کنند، در توصیه های آینده بیشتر مراقب خواهیم بود.

علاوه بر این، یک بار دیگر تاکید می کنیم که هیچ مدرکی دال بر به خطر انداختن اطلاعات حساس شما وجود ندارد. دامنه ای که بدافزار به آن متکی است اکنون حذف شده است و سازندگان آن دیگر نمی توانند آن را کنترل کنند.

یک بار دیگر، مایلیم از افرادی که نحوه عملکرد بدافزار را فهمیدند و اسکریپتی برای حذف خودکار آن ایجاد کردند تشکر ویژه ای داشته باشیم. نه به ترتیب خاصی:

  • پاپوماکی
  • BlockyTheDev
  • blubbablasen
  • کای
  • limn0
  • LinuxUserGD
  • میکاسا
  • انتخاب من
  • آفتابی
  • صفر ۰
  • زئوشو
  • سرنو
  • هارومان
  • یان میلی متر ۱۴
  • لوزیدف
  • مخلص – بی ریا – صمیمانه
  • زارتر