Aviso: você instalou a Play Store no Windows 11? Leia isso agora

Crânio sobre código
solarseven/Shutterstock.com

Em março de 2022, publicamos instruções para instalar a Google Play Store no Windows 11 . O método envolveu um projeto de código aberto do GitHub. Infelizmente, continha malware. Veja como corrigi-lo.

Vamos começar com a parte importante:

Neste momento, não temos motivos para acreditar que alguma de suas informações confidenciais foi comprometida.

Aqui está o que aconteceu

O Windows 11 introduziu a capacidade de instalar aplicativos Android , mas não através da Google Play Store. Naturalmente, as pessoas começaram a procurar maneiras de contornar isso. O tutorial que publicamos continha instruções para baixar um script de um site de terceiros. No fim de semana, um grupo que trabalhava com o script descobriu que continha malware.

Nota: Alguns outros sites também recomendaram este script. Mesmo que tenha seguido o tutorial de outro site, você pode ter baixado o script que continha o malware.

O que o roteiro fez

O script baixou uma ferramenta — Windows Toolbox — que inclui um recurso para instalar a Google Play Store em seu dispositivo Windows 11. Infelizmente, o script que baixou o Windows Toolbox fez mais do que anunciou. Ele também continha código ofuscado que configuraria uma série de tarefas agendadas e criaria uma extensão de navegador direcionada a navegadores baseados em Chromium – Google Chrome, Microsoft Edge e Brave. Apenas PCs com Windows com o idioma definido como inglês foram direcionados.

A extensão do navegador foi então executada em uma janela do navegador “sem cabeça” em segundo plano, ocultando-a efetivamente do usuário. Neste momento, o grupo que descobriu o malware acha que o objetivo principal da extensão era a fraude de anúncios, em vez de algo mais sinistro.

As tarefas agendadas também executavam vários outros scripts que serviam a alguns propósitos diferentes. Por exemplo, alguém monitoraria as tarefas ativas em um PC e mataria o navegador e a extensão usados ​​para fraude de anúncios sempre que o Gerenciador de Tarefas fosse aberto. Mesmo se você percebesse que seu sistema estava um pouco lento e fosse verificar se há algum problema, você não encontraria um. Uma tarefa agendada separada, configurada para ser executada a cada 9 minutos, reiniciaria o navegador e a extensão.

As tarefas de par mais preocupantes criadas usariam o curl para baixar arquivos do site original que forneceu o script malicioso e, em seguida, executar o que foi baixado. As tarefas foram definidas para serem executadas a cada 9 minutos depois que um usuário fez login em sua conta. Em teoria, isso poderia ter sido usado para fornecer atualizações ao código malicioso para adicionar funcionalidade ao malware atual, entregar malware totalmente separado ou qualquer outra coisa que o autor quisesse.

Recomendado:  Drone mantém a comida quente ao bater em linhas de energia e pegar fogo

Felizmente, quem estava por trás do ataque não chegou lá – até onde sabemos, a tarefa curl nunca foi usada para nada além de baixar um arquivo de teste chamado “asd”, que não fez nada. O domínio do qual a tarefa curl baixou os arquivos foi removido graças à ação rápida do CloudFlare. Isso significa que, mesmo que o malware ainda esteja em execução em sua máquina, ele não pode baixar mais nada. Você só precisa removê-lo e pronto.

Observação: para reiterar: como a Cloudflare removeu o domínio, o malware não pode baixar nenhum software adicional ou receber comandos.

Se você estiver interessado em ler uma análise detalhada de como a entrega do malware foi preparada e o que cada tarefa faz, ela está disponível no GitHub .

Como corrigi-lo

Existem duas opções disponíveis agora para corrigi-lo. A primeira é excluir manualmente todos os arquivos afetados e tarefas agendadas. A segunda é usar um script escrito pelas pessoas que descobriram o malware em primeiro lugar.

Observação: no momento, nenhum software antivírus detectará ou removerá esse malware se estiver em execução em sua máquina.

Limpando manualmente

Começaremos excluindo todas as tarefas maliciosas e, em seguida, excluiremos todos os arquivos e pastas criados.

Removendo tarefas maliciosas

As tarefas criadas estão todas enterradas nas tarefas Microsoft > Windows no Agendador de Tarefas. Veja como encontrá-los e removê-los.

Clique em Iniciar, digite “Agendador de Tarefas” na barra de pesquisa e pressione Enter ou clique em “Abrir”.

Clique no botão Iniciar, digite “Agendador de Tarefas” na barra de pesquisa e clique em “Abrir”.

Você precisa navegar para as tarefas Microsoft > Windows. Tudo o que você precisa fazer é clicar duas vezes em “Biblioteca do Agendador de Tarefas”, “Microsoft” e depois em “Windows”, nessa ordem. Isso vale para a abertura de qualquer uma das tarefas listadas abaixo também.

Exemplo de hierarquia do Agendador de Tarefas.

Quando estiver lá, você estará pronto para começar a excluir tarefas. O malware cria até 8 tarefas.

Observação: devido ao funcionamento do malware, talvez você não tenha todos os serviços listados.

Você precisa excluir qualquer um destes que estão presentes:

  • AppID > VerifiedCert
  • Experiência de aplicação > Manutenção
  • Serviços > CertPathCheck
  • Serviços > CertPathw
  • Manutenção > ComponentCleanup
  • Manutenção > Limpeza de serviço
  • Shell > ObjectTask
  • Clipe > Limpeza de Serviço
Recomendado:  Como desativar o modo restrito do YouTube em seu programa de eco (para que os vídeos não fiquem ausentes dos resultados da pesquisa)

Depois de identificar um serviço malicioso no Agendador de Tarefas, clique com o botão direito do mouse nele e clique em “Excluir”.

Aviso: Não exclua nenhuma outra tarefa além das que mencionamos acima. A maioria das tarefas aqui são criadas pelo próprio Windows ou por aplicativos legítimos de terceiros.

Clique com o botão direito do mouse na tarefa e clique em “Excluir”.

Exclua todas as tarefas da lista acima que você encontrar e estará pronto para passar para a próxima etapa.

Removendo arquivos e pastas maliciosos

O malware cria apenas alguns arquivos e, felizmente, eles estão contidos em apenas três pastas:

  • C:\systemfile
  • C:\Windows\security\pywinvera
  • C:\Windows\security\pywinveraa

Primeiro, abra o Explorador de Arquivos. Na parte superior do Explorador de Arquivos, clique em “Exibir”, vá para “Mostrar” e verifique se “Itens ocultos” está marcado.

Clique em “Exibir”, depois passe o mouse sobre “Mostrar” e marque “Itens ocultos”.

Procure uma pasta ligeiramente transparente chamada “systemfile”. Se estiver lá, clique com o botão direito do mouse e clique em “Excluir”.

Atualização: Houve alguns relatos de que a pasta systemfile permanecerá invisível mesmo se “Exibir pastas ocultas” estiver ativado. Não podemos duplicar esse comportamento, mas você ainda deve verificar por si mesmo com muita cautela. Digite o caminho “C:\systemfile” na barra de endereços do File Explorer e pressione Enter. Se você puder abrir a pasta digitando o caminho manualmente, mas não puder visualizá-la no Explorador de Arquivos, use o script que anexamos para garantir que a pasta e todo o seu conteúdo sejam excluídos.
Aviso: certifique-se de identificar corretamente as pastas que estamos prestes a excluir. A exclusão acidental de pastas reais do Windows pode causar problemas. Se você fizer isso, restaure-os da Lixeira o mais rápido possível.

Clique com o botão direito do mouse em "arquivo do sistema" se estiver presente e clique no botão excluir.

Depois de excluir a pasta “systemfiles”, clique duas vezes na pasta Windows e role até encontrar a pasta “Segurança”. Você está procurando por duas pastas: uma se chama “pywinvera” e a outra se chama “pywinveraa”. Clique com o botão direito do mouse em cada um deles e clique em “Excluir”.

Excluir pywinvera e pywinveraa

Nota: A exclusão de arquivos e pastas dentro da pasta do Windows provavelmente acionará um aviso sobre a necessidade de privilégios administrativos. Se solicitado, vá em frente e permita. (No entanto, certifique-se de excluir apenas os arquivos e pastas exatos que mencionamos aqui.)

Você está pronto – embora irritante, esse malware em particular não fez muito para se proteger.

Recomendado:  Como corrigir um erro de análise de fórmula no Planilhas Google

Limpando com um script

As mesmas pessoas de olhos de águia que identificaram o malware em primeiro lugar também passaram o fim de semana dissecando o código malicioso, determinando como ele funcionava e, finalmente, escrevendo um script para removê-lo. Gostaríamos de parabenizar a equipe por seus esforços.

Você está certo em desconfiar de outro utilitário do GitHub, considerando como chegamos aqui. No entanto, as circunstâncias são um pouco diferentes. Ao contrário do script envolvido na entrega do código malicioso, o script de remoção é curto e o auditamos manualmente — cada linha. Também estamos hospedando o arquivo para garantir que ele não possa ser atualizado sem nos dar a oportunidade de confirmar manualmente que é seguro. Testamos esse script em várias máquinas para garantir que fosse eficaz.

Primeiro, baixe o script compactado do nosso site e extraia o script em qualquer lugar que desejar.

Então você precisa habilitar scripts. Clique no botão Iniciar, digite “PowerShell” na barra de pesquisa e clique em “ Executar como administrador ”.

Clique em “Executar como administrador”.

Em seguida, digite ou cole set-executionpolicy remotesignedna janela do PowerShell e pressione Y. Você pode fechar a janela do PowerShell.

Digite o comando no PowerShell e pressione Enter.

Navegue até a pasta de downloads, clique com o botão direito do mouse em Removal.ps1 e clique em “Executar com PowerShell”. O script verificará as tarefas, pastas e arquivos maliciosos em seu sistema.

Clique em “Executar com PowerShell”.

Se eles estiverem presentes, você terá a opção de excluí-los. Digite “Y” ou “y” na janela do PowerShell e pressione Enter.

O script confirmou malware.

O script excluirá todo o lixo criado pelo malware.

O script removeu o malware.

Depois de executar o script de remoção, retorne sua política de execução de script para a configuração padrão. Abra o PowerShell como administrador, digite set-executionpolicy defaulte pressione Y. Em seguida, feche a janela do PowerShell.

O que estamos fazendo

A situação está evoluindo, e estamos de olho nas coisas enquanto isso. Ainda existem algumas perguntas sem resposta – como por que algumas pessoas relatam que um servidor OpenSSH inexplicável está sendo instalado. Se alguma nova informação importante vier à tona, manteremos você atualizado.

Mais uma vez, gostaríamos de oferecer um agradecimento especial às pessoas que descobriram como o malware funcionava e criaram um script para removê-lo automaticamente. Em nenhuma ordem particular:

  • Pabumake
  • BlockyTheDev
  • blubbablasen
  • Kay
  • Limn0
  • LinuxUserGD
  • Mikasa
  • Opcional M
  • Sonnenläufer
  • Zergo0
  • Zuescho
  • Cirno
  • Harromann
  • Janmm14
  • luzeadev
  • XplLiciTGenericName
  • Zeryther