Em março de 2022, publicamos instruções para instalar a Google Play Store no Windows 11 . O método envolveu um projeto de código aberto do GitHub. Infelizmente, continha malware. Veja como corrigi-lo.
Vamos começar com a parte importante:
Neste momento, não temos motivos para acreditar que alguma de suas informações confidenciais foi comprometida.
Índice
O Windows 11 introduziu a capacidade de instalar aplicativos Android , mas não através da Google Play Store. Naturalmente, as pessoas começaram a procurar maneiras de contornar isso. O tutorial que publicamos continha instruções para baixar um script de um site de terceiros. No fim de semana, um grupo que trabalhava com o script descobriu que continha malware.
Nota: Alguns outros sites também recomendaram este script. Mesmo que tenha seguido o tutorial de outro site, você pode ter baixado o script que continha o malware.
O script baixou uma ferramenta — Windows Toolbox — que inclui um recurso para instalar a Google Play Store em seu dispositivo Windows 11. Infelizmente, o script que baixou o Windows Toolbox fez mais do que anunciou. Ele também continha código ofuscado que configuraria uma série de tarefas agendadas e criaria uma extensão de navegador direcionada a navegadores baseados em Chromium – Google Chrome, Microsoft Edge e Brave. Apenas PCs com Windows com o idioma definido como inglês foram direcionados.
A extensão do navegador foi então executada em uma janela do navegador “sem cabeça” em segundo plano, ocultando-a efetivamente do usuário. Neste momento, o grupo que descobriu o malware acha que o objetivo principal da extensão era a fraude de anúncios, em vez de algo mais sinistro.
As tarefas agendadas também executavam vários outros scripts que serviam a alguns propósitos diferentes. Por exemplo, alguém monitoraria as tarefas ativas em um PC e mataria o navegador e a extensão usados para fraude de anúncios sempre que o Gerenciador de Tarefas fosse aberto. Mesmo se você percebesse que seu sistema estava um pouco lento e fosse verificar se há algum problema, você não encontraria um. Uma tarefa agendada separada, configurada para ser executada a cada 9 minutos, reiniciaria o navegador e a extensão.
As tarefas de par mais preocupantes criadas usariam o curl para baixar arquivos do site original que forneceu o script malicioso e, em seguida, executar o que foi baixado. As tarefas foram definidas para serem executadas a cada 9 minutos depois que um usuário fez login em sua conta. Em teoria, isso poderia ter sido usado para fornecer atualizações ao código malicioso para adicionar funcionalidade ao malware atual, entregar malware totalmente separado ou qualquer outra coisa que o autor quisesse.
Felizmente, quem estava por trás do ataque não chegou lá – até onde sabemos, a tarefa curl nunca foi usada para nada além de baixar um arquivo de teste chamado “asd”, que não fez nada. O domínio do qual a tarefa curl baixou os arquivos foi removido graças à ação rápida do CloudFlare. Isso significa que, mesmo que o malware ainda esteja em execução em sua máquina, ele não pode baixar mais nada. Você só precisa removê-lo e pronto.
Observação: para reiterar: como a Cloudflare removeu o domínio, o malware não pode baixar nenhum software adicional ou receber comandos.
Se você estiver interessado em ler uma análise detalhada de como a entrega do malware foi preparada e o que cada tarefa faz, ela está disponível no GitHub .
Existem duas opções disponíveis agora para corrigi-lo. A primeira é excluir manualmente todos os arquivos afetados e tarefas agendadas. A segunda é usar um script escrito pelas pessoas que descobriram o malware em primeiro lugar.
Observação: no momento, nenhum software antivírus detectará ou removerá esse malware se estiver em execução em sua máquina.
Começaremos excluindo todas as tarefas maliciosas e, em seguida, excluiremos todos os arquivos e pastas criados.
As tarefas criadas estão todas enterradas nas tarefas Microsoft > Windows no Agendador de Tarefas. Veja como encontrá-los e removê-los.
Clique em Iniciar, digite “Agendador de Tarefas” na barra de pesquisa e pressione Enter ou clique em “Abrir”.
Você precisa navegar para as tarefas Microsoft > Windows. Tudo o que você precisa fazer é clicar duas vezes em “Biblioteca do Agendador de Tarefas”, “Microsoft” e depois em “Windows”, nessa ordem. Isso vale para a abertura de qualquer uma das tarefas listadas abaixo também.
Quando estiver lá, você estará pronto para começar a excluir tarefas. O malware cria até 8 tarefas.
Observação: devido ao funcionamento do malware, talvez você não tenha todos os serviços listados.
Você precisa excluir qualquer um destes que estão presentes:
Depois de identificar um serviço malicioso no Agendador de Tarefas, clique com o botão direito do mouse nele e clique em “Excluir”.
Aviso: Não exclua nenhuma outra tarefa além das que mencionamos acima. A maioria das tarefas aqui são criadas pelo próprio Windows ou por aplicativos legítimos de terceiros.
Exclua todas as tarefas da lista acima que você encontrar e estará pronto para passar para a próxima etapa.
O malware cria apenas alguns arquivos e, felizmente, eles estão contidos em apenas três pastas:
Primeiro, abra o Explorador de Arquivos. Na parte superior do Explorador de Arquivos, clique em “Exibir”, vá para “Mostrar” e verifique se “Itens ocultos” está marcado.
Procure uma pasta ligeiramente transparente chamada “systemfile”. Se estiver lá, clique com o botão direito do mouse e clique em “Excluir”.
Atualização: Houve alguns relatos de que a pasta systemfile permanecerá invisível mesmo se “Exibir pastas ocultas” estiver ativado. Não podemos duplicar esse comportamento, mas você ainda deve verificar por si mesmo com muita cautela. Digite o caminho “C:\systemfile” na barra de endereços do File Explorer e pressione Enter. Se você puder abrir a pasta digitando o caminho manualmente, mas não puder visualizá-la no Explorador de Arquivos, use o script que anexamos para garantir que a pasta e todo o seu conteúdo sejam excluídos.
Aviso: certifique-se de identificar corretamente as pastas que estamos prestes a excluir. A exclusão acidental de pastas reais do Windows pode causar problemas. Se você fizer isso, restaure-os da Lixeira o mais rápido possível.
Depois de excluir a pasta “systemfiles”, clique duas vezes na pasta Windows e role até encontrar a pasta “Segurança”. Você está procurando por duas pastas: uma se chama “pywinvera” e a outra se chama “pywinveraa”. Clique com o botão direito do mouse em cada um deles e clique em “Excluir”.
Nota: A exclusão de arquivos e pastas dentro da pasta do Windows provavelmente acionará um aviso sobre a necessidade de privilégios administrativos. Se solicitado, vá em frente e permita. (No entanto, certifique-se de excluir apenas os arquivos e pastas exatos que mencionamos aqui.)
Você está pronto – embora irritante, esse malware em particular não fez muito para se proteger.
As mesmas pessoas de olhos de águia que identificaram o malware em primeiro lugar também passaram o fim de semana dissecando o código malicioso, determinando como ele funcionava e, finalmente, escrevendo um script para removê-lo. Gostaríamos de parabenizar a equipe por seus esforços.
Você está certo em desconfiar de outro utilitário do GitHub, considerando como chegamos aqui. No entanto, as circunstâncias são um pouco diferentes. Ao contrário do script envolvido na entrega do código malicioso, o script de remoção é curto e o auditamos manualmente — cada linha. Também estamos hospedando o arquivo para garantir que ele não possa ser atualizado sem nos dar a oportunidade de confirmar manualmente que é seguro. Testamos esse script em várias máquinas para garantir que fosse eficaz.
Primeiro, baixe o script compactado do nosso site e extraia o script em qualquer lugar que desejar.
Então você precisa habilitar scripts. Clique no botão Iniciar, digite “PowerShell” na barra de pesquisa e clique em “ Executar como administrador ”.
Em seguida, digite ou cole set-executionpolicy remotesigned
na janela do PowerShell e pressione Y. Você pode fechar a janela do PowerShell.
Navegue até a pasta de downloads, clique com o botão direito do mouse em Removal.ps1 e clique em “Executar com PowerShell”. O script verificará as tarefas, pastas e arquivos maliciosos em seu sistema.
Se eles estiverem presentes, você terá a opção de excluí-los. Digite “Y” ou “y” na janela do PowerShell e pressione Enter.
O script excluirá todo o lixo criado pelo malware.
Depois de executar o script de remoção, retorne sua política de execução de script para a configuração padrão. Abra o PowerShell como administrador, digite set-executionpolicy default
e pressione Y. Em seguida, feche a janela do PowerShell.
A situação está evoluindo, e estamos de olho nas coisas enquanto isso. Ainda existem algumas perguntas sem resposta – como por que algumas pessoas relatam que um servidor OpenSSH inexplicável está sendo instalado. Se alguma nova informação importante vier à tona, manteremos você atualizado.
Mais uma vez, gostaríamos de oferecer um agradecimento especial às pessoas que descobriram como o malware funcionava e criaram um script para removê-lo automaticamente. Em nenhuma ordem particular:
Muitos aplicativos de limpeza estão disponíveis para Windows ao longo dos anos, mas hoje em…
Seu PlayStation 4 está congelado? Seus jogos favoritos continuam travando? Reiniciar seu PS4 pode resolver…
A popularidade das mensagens de texto significou aprender uma forma totalmente nova de comunicação. Você…
A foto dos "Pilares da Criação" tirada pelo Telescópio Espacial Hubble é uma das fotos…
O Proton Drive saiu de seu estágio beta há algumas semanas, mas o aplicativo real…
Para ver suas fotos mais de perto ou para uma edição precisa , você pode…