Dapat Notifikasi Install Play Store di Windows 11? Bahaya!

Pada bulan Maret 2022, kami menerbitkan instruksi untuk menginstal Google Play Store di Windows 11. Metode ini melibatkan proyek sumber terbuka dari GitHub. Sayangnya, itu berisi malware. Berikut cara memperbaikinya.

Saat ini, kami tidak memiliki alasan untuk percaya bahwa informasi sensitif Anda telah disusupi.

Windows 11 memperkenalkan kemampuan untuk menginstal aplikasi Android, tetapi tidak melalui Google Play Store. Secara alami, orang-orang mulai mencari cara untuk mengatasi ini. Tutorial yang kami terbitkan berisi instruksi untuk mengunduh skrip dari situs web pihak ketiga. Selama akhir pekan, sebuah grup yang bekerja dengan skrip menemukan bahwa skrip tersebut berisi malware.

Catatan: Beberapa situs web lain juga merekomendasikan skrip ini. Bahkan jika Anda mengikuti tutorial situs web lain, Anda mungkin telah mengunduh skrip yang berisi malware.

Script mengunduh alat — Windows Toolbox — yang menyertakan fitur untuk menginstal Google Play store ke perangkat Windows 11 Anda. Sayangnya, skrip yang mengunduh Windows Toolbox melakukan lebih dari yang diiklankan. Itu juga berisi kode yang dikaburkan yang akan mengatur serangkaian tugas terjadwal dan membuat ekstensi browser yang menargetkan browser berbasis Chromium – Google Chrome, Microsoft Edge, dan Brave. Hanya PC Windows dengan bahasa yang disetel ke bahasa Inggris yang menjadi target.

Ekstensi browser kemudian dijalankan di jendela browser “tanpa kepala” di latar belakang, menyembunyikannya secara efektif dari pengguna. Saat ini, kelompok yang menemukan malware tersebut menganggap bahwa tujuan utama ekstensi tersebut adalah penipuan iklan, bukan apa pun yang lebih jahat.

Tugas terjadwal juga menjalankan beberapa skrip lain yang memiliki beberapa tujuan berbeda. Misalnya, seseorang akan memantau tugas aktif di PC dan mematikan browser dan ekstensi yang digunakan untuk penipuan iklan setiap kali Pengelola Tugas dibuka. Bahkan jika Anda melihat sistem Anda bertindak agak lamban dan pergi untuk memeriksa masalah, Anda tidak akan menemukannya. Tugas terjadwal terpisah, diatur untuk dijalankan setiap 9 menit, kemudian akan memulai ulang browser dan ekstensi.

Tugas pasangan yang paling mengkhawatirkan yang dibuat akan menggunakan curl untuk mengunduh file dari situs web asli yang mengirimkan skrip berbahaya, dan kemudian menjalankan apa pun yang diunduh. Tugas diatur untuk dijalankan setiap 9 menit setelah pengguna masuk ke akun mereka. Secara teori, ini bisa digunakan untuk mengirimkan pembaruan ke kode berbahaya untuk menambahkan fungsionalitas ke malware saat ini, mengirimkan malware yang benar-benar terpisah, atau apa pun yang diinginkan penulis.

Untungnya, siapa pun yang berada di balik serangan itu tidak sampai di sana — sejauh ini seperti yang kita ketahui, tugas curl tidak pernah digunakan untuk apa pun selain untuk mengunduh berkas tes bernama “asd,” yang tidak melakukan apa pun. Domain tempat file unduhan tugas curl sejak itu telah dihapus berkat tindakan cepat dari CloudFlare. Itu berarti bahwa meskipun malware masih berjalan di komputer Anda, ia tidak dapat mengunduh apa pun. Anda hanya perlu menghapusnya, dan Anda siap melakukannya.

Catatan: Untuk mengulangi: Karena Cloudflare telah menghapus domain, malware tidak dapat mengunduh perangkat lunak tambahan apa pun atau menerima perintah apa pun.

Jika Anda tertarik untuk membaca perincian terperinci dari bagaimana pengiriman malware dipentaskan, dan apa yang dilakukan setiap tugas, tersedia di GitHub.

Cara Memperbaikinya

Ada dua opsi yang tersedia saat ini untuk memperbaikinya. Yang pertama adalah menghapus sendiri semua file yang terpengaruh dan tugas terjadwal secara manual. Yang kedua adalah menggunakan skrip yang ditulis oleh orang yang pertama kali menemukan malware.

Catatan: Saat ini, tidak ada perangkat lunak antivirus yang akan mendeteksi atau menghapus malware ini jika dijalankan di komputer Anda.

Membersihkan Secara Manual

Kita akan mulai dengan menghapus semua tugas berbahaya, lalu kami akan menghapus semua file dan folder yang dibuatnya.

Menghapus Tugas Berbahaya

Semua tugas yang dibuat terkubur di bawah tugas Microsoft > Windows di Penjadwal Tugas. Berikut cara menemukan dan menghapusnya.

Klik Mulai, lalu ketik “Penjadwal Tugas” ke dalam bilah pencarian dan tekan Enter atau klik “Buka.”

Anda perlu menavigasi ke tugas Microsoft > Windows. Yang perlu Anda lakukan adalah mengklik dua kali “Perpustakaan Penjadwal Tugas,” “Microsoft,” dan kemudian “Windows,” dalam urutan itu. Itu juga berlaku untuk membuka salah satu tugas yang tercantum di bawah ini.

Setelah Anda berada di sana, Anda siap untuk mulai menghapus tugas. Malware membuat sebanyak 8 tugas.

Catatan: Karena cara kerja malware, Anda mungkin tidak memiliki semua layanan yang terdaftar.

Anda perlu menghapus salah satu layanan yang ada:

AppID > VerifiedCertApplication Experience > MaintenanceServices > CertPathCheckServices > CertPathwServicing > ComponentCleanupServicing > ServiceCleanupShell > ObjectTaskClip > ServiceCleanup

Setelah Anda mengidentifikasi layanan berbahaya di Penjadwal Tugas, klik kanan, lalu tekan “Hapus.”

Warning: Jangan hapus tugas lain selain dari yang kami sebutkan di atas. Sebagian besar tugas di sini dibuat oleh Windows itu sendiri atau oleh aplikasi pihak ketiga yang sah.

Hapus semua tugas dari daftar di atas yang dapat Anda temukan, lalu Anda siap untuk melanjutkan ke langkah berikutnya.

Menghapus File dan Folder Berbahayas

Malware hanya membuat beberapa file, dan untungnya, hanya ada dalam tiga folder:

C:systemfilesC:WindowssecuritypywinveraC:Windowssecuritypywinveraa

Pertama, buka File Explorer. Di bagian atas File Explorer, klik “Lihat,” pergi ke “Tampilkan,” dan kemudian pastikan “Item Tersembunyi” dicentang.

Cari folder yang agak transparan bernama “systemfile.” Jika ada, klik kanan dan tekan “Hapus.”

Warning: Pastikan Anda mengidentifikasi folder yang akan kami hapus dengan benar. Menghapus folder Windows asli secara tidak sengaja dapat menyebabkan masalah. Jika Anda melakukannya, pulihkan dari Recycle Bin sesegera mungkin.

Setelah Anda menghapus folder “systemfiles”, klik dua kali folder Windows, lalu gulir hingga Anda menemukan folder “Keamanan”. Anda sedang mencari dua folder: satu bernama “pywinvera” dan yang lainnya bernama “pywinveraa”. Klik kanan masing-masing, lalu klik “Hapus.”

Catatan: Menghapus file dan folder di dalam folder Windows mungkin akan memicu peringatan tentang perlunya hak administratif. Jika diminta, lanjutkan dan izinkan. (Namun, pastikan Anda hanya menghapus file dan folder yang sama persis seperti yang kami sebutkan di sini.)

Anda sudah selesai — meskipun menjengkelkan, malware khusus ini tidak melakukan terlalu banyak untuk melindungi dirinya sendiri.

Membersihkan Dengan Skrip

Elang yang sama Orang-orang bermata yang mengidentifikasi malware di tempat pertama juga menghabiskan akhir pekan untuk membedah kode berbahaya, menentukan cara kerjanya, dan akhirnya, menulis skrip untuk menghapusnya. Kami ingin memberikan penghargaan kepada tim atas upaya mereka.

Anda berhak curiga untuk mempercayai utilitas lain dari GitHub mengingat bagaimana kami sampai di sini. Namun, situasinya sedikit berbeda. Tidak seperti skrip yang terlibat dalam pengiriman kode berbahaya, skrip penghapusan pendek, dan kami telah mengauditnya secara manual — setiap baris. Kami juga menghosting file sendiri untuk memastikan bahwa itu tidak dapat diperbarui tanpa memberi kami kesempatan untuk mengonfirmasi keamanannya secara manual. Kami menguji skrip ini di beberapa mesin untuk memastikannya efektif.

Pertama, unduh skrip zip dari situs web kami, lalu ekstrak skrip di mana pun Anda mau.

Kemudian Anda harus mengaktifkan skrip. Klik tombol Start, ketik “PowerShell” ke dalam bilah pencarian, dan klik “Run as Administrator.”

Kemudian ketik atau tempel set-executionpolicy remotesigned ke jendela PowerShell, dan tekan Y. Anda kemudian dapat menutup jendela PowerShell.

Navigasikan ke download folder, klik kanan Removal.ps1, dan klik “Run with PowerShell” Script akan memeriksa tugas, folder, dan file berbahaya di sistem Anda.

Jika ada, Anda akan diberikan opsi untuk menghapusnya . Ketik “Y” atau “y” ke dalam jendela PowerShell, lalu tekan Enter.

Script kemudian akan menghapus semua sampah yang dibuat oleh malware.

Setelah Anda menjalankan skrip penghapusan, kembalikan kebijakan eksekusi skrip Anda ke pengaturan default . Buka PowerShell sebagai administrator, masukkan set-executionpolicy default , dan tekan Y. Kemudian tutup jendela PowerShell.

Apa yang Kami Lakukan

Situasinya berkembang, dan kami terus mengawasi hal-hal seperti itu. Masih ada beberapa pertanyaan yang belum terjawab — seperti mengapa beberapa orang melaporkan bahwa Server OpenSSH yang tidak dapat dijelaskan sedang diinstal. Jika ada informasi baru yang penting terungkap, kami pasti akan terus memperbarui Anda.

Catatan Editor: Selama 15+ tahun terakhir, kami telah melihat banyak aplikasi Windows dan ekstensi browser beralih ke sisi gelap. Kami berusaha untuk sangat berhati-hati dan hanya merekomendasikan solusi tepercaya kepada pembaca kami. Karena meningkatnya risiko yang ditimbulkan oleh aktor jahat terhadap proyek sumber terbuka, kami akan lebih rajin memberikan rekomendasi di masa mendatang.

Selain itu, kami ingin menekankan sekali lagi bahwa tidak ada bukti bahwa informasi sensitif Anda telah disusupi. Domain tempat malware bergantung sekarang telah dihapus, dan pembuatnya tidak dapat lagi mengontrolnya.

Itulah berita seputar Peringatan: Apakah Anda Menginstal Play Store di Windows 11? Baca Ini Sekarang, semoga bermanfaat. Disadur dari HowToGeek.com.