Windows病毒|木馬偽裝Android App市場、電腦內有這些檔案已中招

撰文:蔡浩騰
出版:更新:

Windows 病毒|這段時間 Android 手機用的 Play Store 頻頻被病毒問題侵擾,想不到這股風氣居然漫延到 Windows 去了?日前有外媒就發現,原來連 Windows 11 用的 Google Play Store 都有木馬感染風險,而且用家中招可能依然懵然不知。

Windows 11 專用第三方 Play Store 工具成黑客目標

Microsoft 去年公布 Windows 11 新版本系統時,其中一個廣受期待的功能就要數到其原生運行 Android Apps 的能力,然而在正式推出之後,Microsoft 預設就只容許用戶以 Amazon App Store 下載 Android Apps,令 Apps 的選擇被大大限制。

不過 Windows 的軟件環境一向非常開放,在不久之後就有大批開發者為 Windows 11 製作了一批第三方的軟件,供 Windows 11 的用戶可以直接在系統內造訪 Google Play Store 並下載當中的 Android Apps 使用。然而由於第三方軟件不需要經 Microsoft 授權即可以任意發布,結果就成為了黑客發起網絡攻擊的入口。

工具程式內藏木馬、中招被騎劫往詐騙網站

在眾多有類似功能的工具程式中,其中一個被放到開源軟件網站 GitHub 上供人下載的《Powershell Windows Toolbox》就積攅了不少人氣;Powershell Windows Toolbox 的功能相當實用,除了上面提及可為 Windows 11 用戶安裝 Play Store 之外,更可以大幅度修改 Windows 系統,例如卸除部份沒有用的預載 Apps、停止 Cortana 運作、甚至可以激活盜版的 Office 或 Windows。

如此方便,當然吸引到不少人下載,但據外媒 Bleeping Computer 證實,Powershell Windows Toolbox 在實用的功能之外,居然還加入了一種難以察覺的 Trojan Clicker 木馬程序,在下載、安裝時不會即時發作,而是當用戶需要用到工具前,開發者就會建議用戶手動輸入、運行一段看來無害的代碼:

然後它就會從網上的另一個 Cloudflare 伺服器中下載入侵電腦所需的惡意程式 - 而正正因為這個操作由用家本身發動,一般的防毒軟件並不會將 Powershell Windows Toolbox 定性為病毒,難以事先作出防範。

至於被 Powershell Windows Toolbox 感染的電腦,會下載多個修改電腦設定的木馬程式,暫時最明顯的作用就是騎劫用戶的網路瀏覽器,每當用戶連上特定網站,就會將他們帶到其他不知名的詐騙釣魚網站,雖然詐騙未必能進一步騙取用戶金錢,但這就大大影響到電腦的日常操作用途。

Windows 用戶被 Powershell Windows Toolbox 騎劫後會被帶到的詐騙網站(圖 Bleeping Computer)

Bleeping Computer 方面提到,如果不幸在早前安裝過 Powershell Windows Toolbox 而被感染的話,除了要徹底卸載已安裝的檔案之外,亦必須要刪除以下幾個檔案嘗試脫困:

C:\Windows\security\pywinvera

C:\Windows\security\pywinveraa

C:\Windows\security\winver.png

你可能感興趣