Kártevőt is hozott a Windowsra a Play Áruház
A Windows 11 egyik máig javarészt beváltatlan ígéretét az androidos alkalmazások és játékok futtatásának lehetősége jelenti. A funkció nyilvános előzetes változata februárban vált elérhetővé, ám egyelőre csak az egyesült államokbeli felhasználók számára, ráadásul az előre bejelentettnek megfelelően a Play Áruház helyett az Amazon Appstore áll benne rendelkezésre.
A borítékolhatónak megfelelően az utóbbi nem nyerte el a többség tetszését, így nagyon gyorsan megjelentek az olyan szkriptek az interneten, amelyek segítségével könnyedén telepíthető a Play-szolgáltatások keretrendszer és a Play Áruház a Windows 11 gyári androidos futtatói környezetébe.
Most bizonyítást nyert az egyik elsőként felbukkant ilyen segédeszközről, hogy a készítője rosszindulatúan viselkedett, a Powershell Windows Toolbox néven a GitHubon terjesztett szoftvere egy tweakelőprogram volt, ami többek közt lehetővé tette a Play Áruház telepítését is.
A hírek szerint a reklámozott funkcionalitásával nem volt gond, valóban működtek a különféle beállítási lehetőségei, csak épp a futtatásakor titokban telepített egy trójait is.
Ezen keresztül a készítője további rosszindulatú parancsfájlokat tudott futtatni az áldozatok számítógépein, a javuk sajnos már nem elérhető, de az egyik elcsípett szkript népszerű webhelyek betöltésekor csaló webhelyekre, kéretlen programokat tukmáló oldalakra irányította a netezőket.
Egyelőre úgy tűnik, hogy a Powershell Windows Toolbox készítője csak piti csalásban utazott, és kizárólag az egyesült államokbeli felhasználókra hajtott, az USA-n kívüli számítógépeken elvileg nem futottak le a rosszindulatú tevékenységeket végző szkriptek.
Az áldozatok a Feladatütemező alkalmazásban lévő alábbi bejegyzések törlésével és a PC újraindításával állíthatják le a rosszindulatú tevékenységeket:
- Microsoft\Windows\AppID\VerifiedCert
- Microsoft\Windows\Application Experience\Maintenance
- Microsoft\Windows\Services\CertPathCheck
- Microsoft\Windows\Services\CertPathw
- Microsoft\Windows\Servicing\ComponentCleanup
- Microsoft\Windows\Servicing\ServiceCleanup
- Microsoft\Windows\Shell\ObjectTask
- Microsoft\Windows\Clip\ServiceCleanup
Emellett érdemes törölniük még a kártevő által használt C:\systemfile mappát, továbbá a C:\Windows\security\ mappában lévő „pywinvera” és „pywinveraa” könyvtárakat, plusz a „winver.png” állományt.
Iratkozz fel speciálisan erre a célra kialakított Telegram-csatornánkra, melyen teljes egészében megosztjuk cikkeinket! A telefonod háttérben futó üzemmódban fogja betölteni az aktuális híreket, így nem fogsz lemaradni a legfontosabb eseményekről!
Feliratkozás