Powershell Windows Toolbox giúp cài Google Play lên Windows 11 là mã độc

Thứ hai - 18/04/2022 00:08

Một công cụ của bên thứ 3 được sủ dụng để cài dặt Google Play Store lên Windows 11, cùng một số chức năng khác, đã bị phát hiện là mã độc. Khá nhiều người đã trở thành nạn nhân khi sử dụng công cụ này để cài Play Store.

Công cụ có tên "Powershell Windows Toolbox" này đã được đưa lên GitHub và người dùng LinuxUserGD đã nhận ra rằng những dòng code ẩn rất khó hiểu và chứa những bit độc hại. Sau đó những người dùng khác tiếp tục báo cáo vấn đề liên quan tới công cụ này. Hiện tại, Powershell Windows Toolbox đã bị xóa khỏi GitHub.

Dưới đây là những điều mà công cụ này tuyên bố nó có thể làm được:

Những gì Powershell Windows Toolbox tuyên bố nó có thể làm được

Đầu tiên, công cụ này sử dụng Cloudflare workers để tải một tập lệnh. Trong phần cách sử dụng (How to user) của công cụ, nhà phát triển hướng dẫn người dùng chạy lệnh sau trong CLI:

Chạy lệnh trong CLI

Trong khi tập lệnh đang được tải, xáo trộn code cũng được thực hiện. Sau khi lật ngược sự xáo trộn, các chuyên gia phát hiện ra rằng đây là những dòng code được dùng để tải tập lệnh độc hại từ Cloudflare workers và file từ repo GitHub của người dùng alexrybak0444. Repo này cũng đã bị báo cáo và bị gỡ bỏ.

Mã độc

Sau đó, các tập lệnh tạo ra một tiện ích mở rộng dành cho các trình duyệt nhân Chromium. Đây được cho là thành phần độc hại chính của chiến dịch phát tán mã độc này. Nó dường như là một số liên kết hoặc URL nhất định được sử dụng để tạo ra doanh thu thông qua hình thức afiliates và referrals nhờ việc quảng cáo một số phần mềm hoặc lừa đảo thông qua tin nhắn Facebook và WhatsApp.

Nếu tình cờ cài đặt Powershell Windows Toolbox bạn cần xóa các thành phần sau khỏi máy tính của mình. Đây là những thứ mà mã độc thêm vào trong quá trình lây nhiễm:

Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup

Đồng thời, bạn cũng cần xóa thư mục ẩn "C:\systemfile" được mã độc tạo ra trong quá trình xâm nhập. Trong trường hợp bạn khôi phục lại hệ thống hãy đảm bảo rằng bạn sử dụng file khôi phục không phải được tạo ra bởi Powershell Windows Toolbox bởi nó sẽ không xóa phần mềm độc hại.

Nếu bạn đang tìm cách cài đặt Google Play Store lên máy tính Windows 11 của mình thì hãy tham khảo bài viết này của Quản Trị Mạng:

Cách cài đặt Google Play Store lên Windows 11:

quantrimang.com/cai-dat-thanh-cong-google-play-len-windows-11-185446

Dẫu vậy, trước khi cài đặt Google Play Store, bạn cần lưu ý rằng theo Microsoft để chạy app Android trên Windows 11 bạn cần một máy tính với cấu hình tương đối cao. Tham khảo cấu hình tối thiểu để chạy app Android trên Windows 11 tại đây: