في نيسان 2022، نشرنا إرشادات حول تثبيت متجر جوجل بلاي Google Play Store على نظام التشغيل ويندوز Windows 11.
تضمنت الطريقة مشروعاً مفتوح المصدر من GitHub. لسوء الحظ، احتوت على برامج ضارة. إليك كيفية إصلاحها.
لنبدأ بالجزء المهم:
في الوقت الحالي، ليس لدينا سبب للاعتقاد بأن أياً من معلوماتك الحساسة قد تم اختراقها.
إليكم ما حدث:
قدم ويندوز Windows 11 القدرة على تثبيت تطبيقات أندرويد Android، ولكن ليس عبر متجر جوجل بلاي Google Play Store.
بطبيعة الحال، بدأ الناس يبحثون عن طرق للتغلب على هذا الأمر. احتوى البرنامج التعليمي الذي نشرناه على تعليمات لتنزيل برنامج نصي من موقع ويب تابع لجهة خارجية.
خلال عطلة نهاية الأسبوع، اكتشفت مجموعة تعمل على البرنامج النصي أنه يحتوي على برامج ضارة.
ملاحظة: بعض مواقع الويب الأخرى أوصت أيضاً بهذا البرنامج النصي. حتى إذا اتبعت البرنامج التعليمي لموقع ويب آخر، فربما تكون قد قمت بتنزيل النص البرمجي الذي يحتوي على البرامج الضارة.
ماذا الذي فعله النص البرمجي؟
قام البرنامج النصي بتنزيل أداة Windows Toolbox تتضمن ميزة لتثبيت متجر جوجل بلاي Google Play Store على جهاز ويندوز Windows 11.
لسوء الحظ، حقق البرنامج النصي الذي قام بتنزيل ويندوز Windows Toolbox أكثر مما تم الإعلان عنه.
كما احتوى أيضاً على رمز غامض من شأنه إعداد سلسلة من المهام المجدولة وإنشاء امتداد متصفح يستهدف المتصفحات القائمة على جوجل كروم ومايكروسوفت إيدج Microsoft Edge و Brave.
تم استهداف أجهزة الكمبيوتر التي تعمل بنظام ويندوز Windows فقط مع ضبط لغتها على اللغة الإنجليزية.
كما تم تشغيل امتداد المتصفح بعد ذلك في نافذة متصفح في الخلفية، مما يؤدي إلى إخفائها عن المستخدم بشكل فعال.
في هذا الوقت، تعتقد المجموعة التي اكتشفت البرامج الضارة أن الغرض الأساسي من الامتداد هو الاحتيال في الإعلانات، وليس أي شيء أكثر خطورة.
قامت المهام المجدولة أيضاً بتشغيل عدد قليل من البرامج النصية الأخرى التي تخدم بعض الأغراض المختلفة.
يمكن للمرء أن يراقب المهام النشطة على جهاز كمبيوتر ويقتل المتصفح والإضافة المستخدمة للاحتيال الإعلاني في أي وقت يتم فيه فتح مدير المهام.
حتى إذا لاحظت أن نظامك يتصرف بطيئاً بعض الشيء وذهبت للبحث عن مشكلة، فلن تجد واحدة. ستعمل مهمة مجدولة منفصلة، معدة للتشغيل كل 9 دقائق، على إعادة تشغيل المتصفح والإضافة.
قد تستخدم المهام الأكثر إثارة للقلق التي تم إنشاؤها curl لتنزيل الملفات من موقع الويب الأصلي الذي قام بتسليم البرنامج النصي الضار، ثم تنفيذ كل ما تم تنزيله.
تم تعيين المهام للتشغيل كل 9 دقائق بعد أن يقوم المستخدم بتسجيل الدخول إلى حسابه. من الناحية النظرية، كان من الممكن استخدام هذا الأمر لتقديم تحديثات للشيفرة الضارة لإضافة وظائف إلى البرامج الضارة الحالية، أو تقديم برامج ضارة منفصلة تماماً، أو أي شيء آخر يريده كاتب الشيفرة.
لحسن الحظ، لم يصل أي شخص كان وراء الهجوم (على حسب علمنا)، لأي شيء أكثر من تنزيل ملف اختبار باسم asd، والذي لم يفعل شيئاً.
تمت إزالة المجال الذي تم تنزيل الملفات منه لمهمة curl منذ ذلك الحين بفضل الإجراء السريع من CloudFlare.
هذا يعني أنه حتى إذا كانت البرامج الضارة لا تزال تعمل على جهازك، فلا يمكنها تنزيل أي شيء آخر. ما عليك سوى إزالته، وأنت على ما يرام.
ملاحظة: نظراً لأن Cloudflare قد أزال النطاق، لا يمكن للبرنامج الضار تنزيل أي برامج إضافية أو تلقي أي أوامر.
إذا كنت مهتماً بقراءة تحليل تفصيلي لكيفية تسليم البرامج الضارة على مراحل، وما تفعله كل مهمة، فهي متوفرة على GitHub.
كيفية إصلاح المشكلة:
هناك خياران متاحان الآن لإصلاحها. الأول هو حذف جميع الملفات المتأثرة والمهام المجدولة يدوياً بنفسك. والثاني هو استخدام نص مكتوب بواسطة الأشخاص الذين اكتشفوا البرامج الضارة في المقام الأول.
ملاحظة: في الوقت الحالي، لن يكتشف أي برنامج مكافحة فيروسات هذا البرنامج الضار أو يزيله إذا كان يعمل على جهازك.
التنظيف يدوياً:
سنبدأ بحذف جميع المهام الضارة، ثم سنحذف جميع الملفات والمجلدات التي أنشأتها.
إزالة المهام الخبيثة:
يتم دفن جميع المهام التي تم إنشاؤها ضمن Microsoft > Windows tasks في برنامج جدولة المهام Task Scheduler. إليك كيفية العثور عليها وإزالتها.
انقر فوق ابدأ، ثم اكتب Task Scheduler في شريط البحث واضغط على Enter أو انقر فوق فتح.
تحتاج إلى الانتقال إلى Microsoft ثم Windows tasks. كل ما عليك فعله هو النقر نقراً مزدوجاً فوق مكتبة جدولة المهام، و Microsoft، ثم النقر فوق Windows بهذا الترتيب. هذا ينطبق أيضاً على فتح أي من المهام المدرجة أدناه.
بمجرد أن تكون هناك، تكون مستعداً لبدء حذف المهام. تنشئ البرامج الضارة ما يصل إلى 8 مهام.
ملاحظة: نظراً لكيفية عمل البرامج الضارة، قد لا تتوفر لديك جميع الخدمات المدرجة.
تحتاج إلى حذف المهام التالية إذا كانت موجودة:
- AppID > VerifiedCert
- Application Experience > Maintenance
- Services > CertPathCheck
- Services > CertPathw
- Servicing > ComponentCleanup
- Servicing > ServiceCleanup
- Shell > ObjectTask
- Clip > ServiceCleanup
بمجرد تحديد خدمة ضارة في برنامج جدولة المهام، انقر بزر الماوس الأيمن عليها، ثم اضغط على Delete.
تحذير: لا تحذف أي مهام أخرى بخلاف المهام المحددة التي ذكرناها أعلاه. يتم إنشاء معظم المهام هنا بواسطة ويندوز Windows نفسه أو بواسطة تطبيقات شرعية تابعة لجهات خارجية.
احذف جميع المهام التي يمكنك العثور عليها من القائمة أعلاه، وستكون جاهزاً بعد ذلك للانتقال إلى الخطوة التالية.
إزالة الملفات والمجلدات الضارة:
تنشئ البرامج الضارة عدداً قليلاً فقط من الملفات، ولحسن الحظ، يتم تضمينها في ثلاثة مجلدات فقط:
- C:\systemfile
- C:\Windows\security\pywinvera
- C:\Windows\security\pywinveraa
أولاً، افتح مستكشف الملفات File Explorer. في الجزء العلوي منه، انقر فوق عرض، وانتقل إلى إظهار، ثم تأكد من تحديد العناصر المخفية.
ابحث عن مجلد شفاف نوعاً ما يسمى systemfile. إذا كان موجوداً، فانقر بزر الماوس الأيمن فوقه واضغط على حذف.
ملاحظة: كانت هناك بعض التقارير التي تفيد بأن مجلد systemfile سيبقى غير مرئي حتى إذا تم تمكين عرض المجلدات المخفية، ولكن لا يزال يتعين عليك التحقق بنفسك. أدخل المسار C:\systemfile في شريط العنوان في مستكشف الملفات File Explorer ثم اضغط على Enter. إذا كان بإمكانك فتح المجلد عن طريق إدخال المسار يدوياً، ولكن لا يمكنك عرضه في مستكشف الملفات File Explorer، فيجب عليك استخدام البرنامج النصي الذي قمنا بإرفاقه لضمان حذف المجلد وجميع محتوياته.
تحذير: تأكد من تحديد المجلدات التي نحن على وشك حذفها بشكل صحيح. يمكن أن يتسبب حذف مجلدات ويندوز Windows الحقيقية بطريق الخطأ في حدوث مشكلات. إذا قمت بذلك، قم باستعادتها من سلة المحذوفات في أسرع وقت ممكن.
بمجرد حذف مجلد systemfile، انقر نقراً مزدوجاً فوق مجلد Windows، ثم قم بالتمرير حتى تجد مجلد Security. أنت تبحث عن مجلدين: أحدهما يسمى pywinvera والآخر يسمى pywinveraa. انقر بزر الماوس الأيمن فوق كل منها، ثم انقر فوق حذف.
ملاحظة: من المحتمل أن يؤدي حذف الملفات والمجلدات داخل مجلد ويندوز Windows إلى إطلاق تحذير بشأن الحاجة إلى امتيازات إدارية. إذا طُلب منك ذلك، فاسمح بذلك. (تأكد من أنك تحذف فقط الملفات والمجلدات التي ذكرناها هنا بالضبط).
لقد انتهيت! رغم أنه مزعج، فإن هذا البرنامج الضار المحدد لم يفعل الكثير لحماية نفسه.
الإصلاح باستخدام برنامج نصي:
نفس الأشخاص الذين تعرفوا على البرامج الضارة في المقام الأول أمضوا عطلة نهاية الأسبوع أيضاً في تحليل الشيفرة الخبيثة، وتحديد كيفية عملها، وفي النهاية كتابة نص لإزالتها. نود أن نقدم شكر للفريق على جهودهم.
على عكس نص الشفرة الضارة، فإن نص الإزالة قصير، وقد قمنا بتدقيقه يدوياً كل سطر. كما نستضيف الملف بأنفسنا للتأكد من أنه لا يمكن تحديثه دون منحنا الفرصة للتأكد يدوياً من أنه آمن. اختبرنا هذا البرنامج النصي على أجهزة متعددة للتأكد من فعاليته.
أولاً، قم بتنزيل البرنامج النصي المضغوط من موقعنا على الويب، ثم قم باستخراج البرنامج النصي في أي مكان تريده.
ثم تحتاج إلى تمكين البرامج النصية. انقر فوق الزر ابدأ، واكتب PowerShell في شريط البحث، ثم انقر فوق تشغيل كمسؤول.
ثم اكتب أو انسخ set-executionpolicy remotesigned في نافذة PowerShell، واضغط على Y. يمكنك بعد ذلك إغلاق نافذة PowerShell.
انتقل إلى مجلد التنزيلات، وانقر بزر الماوس الأيمن فوق Removal.ps1، وانقر فوق تشغيل باستخدام PowerShell. سيقوم البرنامج النصي بالبحث عن المهام والمجلدات والملفات الضارة على نظامك.
إذا كانوا موجودين، فسيتم إعطاؤك خيار حذفهم. اكتب Y أو y في نافذة PowerShell، ثم اضغط على Enter.
سيقوم البرنامج النصي بعد ذلك بحذف جميع الملفات غير المرغوب فيها التي أنشأتها البرامج الضارة.
بمجرد تشغيل النص البرمجي للإزالة، أعد سياسة تنفيذ النص البرمجي إلى الإعداد الافتراضي. للقيام بذلك افتح PowerShell كمسؤول، وأدخل set-executionpolicy، واضغط على Y. ثم أغلق نافذة PowerShell.
ما نفعل الآن؟
الوضع يتطور، ونحن نراقب الأشياء باستمرار. لا تزال هناك بعض الأسئلة التي لم تتم الإجابة عليها، مثل إبلاغ بعض الأشخاص عن تثبيت خادم OpenSSH بشكل غير مفسر. إذا ظهرت أي معلومات جديدة مهمة، فسنحرص على إبقائك على اطلاع دائم.
نود أن نؤكد مرة أخرى أنه لا يوجد دليل على اختراق معلوماتك الحساسة. تمت الآن إزالة المجال الذي تعتمد عليه البرامج الضارة، ولم يعد بإمكان منشئوه التحكم فيه.
مرة أخرى، نود أن نقدم شكر خاص للأشخاص الذين توصلوا إلى كيفية عمل البرامج الضارة وإنشاء نص برمجي لإزالتها تلقائياً.