有用户发现,一项看似可在windows 11上安装google play store的好工具,其实是在用户机器上安装恶意程序的木马。
由于windows 11官方工具只能安装amazon appstore上的android app,许多人希望找到安装google play store的工具。也有人曾在github上分享安装play store的文件及安装指引。但是这类工具也可能是黑客布下的陷阱。
近日github上有人发布名为windows toolbox的工具,号称可清除windows 11的垃圾软件、启动office和windows,及在windows 11安装google play store。不过多名研究人员发现,windows toolbox其实是木马程序,包含混淆过的恶意powershell script,一旦安装到windows计算机将植入木马点击程序,可显示恶意广告,也可能安装其他恶意程序。
这个恶意程序存储库包含一些压缩执行文件、python程序等文件,在用户安装后,表面上它的确会执行它描述的功能,但它会创建隐藏文件夹(c:\systemfile)以复制chrome、edge及brave的资料。同时它还会从cloudflare workers下载恶意powershell script,以便下载指令及恶意文件。bleeping computer报道,这招很高明,因为这项服务很少被用来传播恶意程序,不容易被杀毒引擎侦测出来。
这个恶意程序还无法被完全破解,不过似乎是锁定美国用户。感染特征包括它会在windows创建调度任务以复制文件、关闭行程,并且在系统文件文件夹安装python程序,文件名可能为c:\windows\security\pywinvera、c:\windows\security\pywinveraa及c:\windows\security\winver.png。