هل قمت بتثبيت متجر Play على نظام التشغيل Windows 11؟ اقرأ هذا الآن

هل قمت بتثبيت متجر Play على نظام التشغيل Windows 11؟ اقرأ هذا الآن

بقلم

في مارس 2022، نشرنا تعليمات لتثبيت متجر Google Play على نظام التشغيل Windows 11. وكانت الطريقة تتضمن مشروعًا مفتوح المصدر من GitHub. ولكن لسوء الحظ، كان يحتوي على برامج ضارة. وإليك كيفية إصلاحه.




دعونا نبدأ بالجزء المهم:

في هذه المرحلة، ليس لدينا سبب للاعتقاد بأن أيًا من معلوماتك الحساسة قد تعرضت للخطر.


وهنا ما حدث

لقد قدم نظام التشغيل Windows 11 القدرة على تثبيت تطبيقات Android، ولكن ليس عبر متجر Google Play. بطبيعة الحال، بدأ الناس في البحث عن طرق للالتفاف على هذا. احتوى البرنامج التعليمي الذي نشرناه على تعليمات لتنزيل برنامج نصي من موقع ويب تابع لجهة خارجية. خلال عطلة نهاية الأسبوع، اكتشفت مجموعة تعمل على البرنامج النصي أنه يحتوي على برامج ضارة.

كما أوصت بعض المواقع الأخرى بهذا البرنامج النصي. وحتى إذا اتبعت البرنامج التعليمي لموقع آخر، فربما تكون قد قمت بتنزيل البرنامج النصي الذي يحتوي على البرامج الضارة.


ماذا فعل النص

قام البرنامج النصي بتنزيل أداة — Windows Toolbox — تتضمن ميزة لتثبيت متجر Google Play على جهاز Windows 11 الخاص بك. لسوء الحظ، قام البرنامج النصي الذي قام بتنزيل Windows Toolbox بأكثر مما أعلن عنه. كما احتوى على كود مشوش من شأنه إعداد سلسلة من المهام المجدولة وإنشاء ملحق للمتصفح يستهدف المتصفحات المستندة إلى Chromium — Google Chrome وMicrosoft Edge وBrave. تم استهداف أجهزة الكمبيوتر التي تعمل بنظام Windows مع ضبط لغتها على اللغة الإنجليزية فقط.

تم بعد ذلك تشغيل ملحق المتصفح في نافذة متصفح “بدون واجهة” في الخلفية، مما أدى إلى إخفائه عن المستخدم. في هذا الوقت، تعتقد المجموعة التي اكتشفت البرنامج الخبيث أن الغرض الأساسي من الملحق كان الاحتيال الإعلاني، وليس أي شيء أكثر شراً.

كما قامت المهام المجدولة بتشغيل عدد قليل من البرامج النصية الأخرى التي تخدم أغراضًا مختلفة. على سبيل المثال، يمكن للمرء مراقبة المهام النشطة على جهاز كمبيوتر وإيقاف المتصفح والامتداد المستخدم في الاحتيال الإعلاني في أي وقت يتم فيه فتح “إدارة المهام”. حتى إذا لاحظت أن نظامك يتصرف ببطء بعض الشيء وذهبت للتحقق من وجود مشكلة، فلن تجد أي مشكلة. ثم تقوم مهمة مجدولة منفصلة، ​​يتم ضبطها للتشغيل كل 9 دقائق، بإعادة تشغيل المتصفح والامتداد.


كانت المهام الثنائية الأكثر إثارة للقلق التي تم إنشاؤها تستخدم curl لتنزيل الملفات من الموقع الأصلي الذي قدم البرنامج النصي الخبيث، ثم تنفيذ أي شيء تم تنزيله. تم ضبط المهام لتشغيلها كل 9 دقائق بعد تسجيل دخول المستخدم إلى حسابه. من الناحية النظرية، كان من الممكن استخدام هذا لتقديم تحديثات للكود الخبيث لإضافة وظائف إلى البرامج الضارة الحالية، أو تقديم برامج ضارة منفصلة تمامًا، أو أي شيء آخر يريده المؤلف.

لحسن الحظ، لم يتمكن أي شخص كان وراء الهجوم من الوصول إلى هناك — بقدر ما نعلم، لم يتم استخدام مهمة curl لأي شيء أكثر من تنزيل ملف اختبار باسم “asd”، والذي لم يفعل شيئًا. تمت إزالة المجال الذي قامت مهمة curl بتنزيل الملفات منه منذ ذلك الحين بفضل الإجراءات السريعة من CloudFlare. وهذا يعني أنه حتى إذا كان البرنامج الضار لا يزال يعمل على جهازك، فلن يتمكن من تنزيل أي شيء آخر. ما عليك سوى إزالته، وستكون على ما يرام.


للتأكيد: نظرًا لأن Cloudflare قامت بإزالة النطاق، فإن البرامج الضارة لا تستطيع تنزيل أي برامج إضافية أو تلقي أي أوامر.

إذا كنت مهتما بالقراءة تفصيل مفصل حول كيفية تنفيذ عملية تسليم البرامج الضارة، وما تفعله كل مهمة، إنه متاح على GitHub.

كيفية إصلاحه

هناك خياران متاحان الآن لإصلاح المشكلة. الأول هو حذف جميع الملفات المتأثرة والمهام المجدولة يدويًا بنفسك. والثاني هو استخدام نص مكتوب بواسطة الأشخاص الذين اكتشفوا البرامج الضارة في المقام الأول.

في الوقت الحالي، لن يتمكن أي برنامج مكافحة فيروسات من اكتشاف هذا البرنامج الضار أو إزالته إذا كان يعمل على جهازك.


التنظيف يدويًا

سنبدأ بحذف جميع المهام الضارة، ثم سنحذف جميع الملفات والمجلدات التي أنشأتها.

إزالة المهام الضارة

يتم إخفاء جميع المهام التي تم إنشاؤها ضمن مهام Microsoft > Windows في “مجدول المهام”. وإليك كيفية العثور عليها وإزالتها.

انقر فوق ابدأ، ثم اكتب “Task Scheduler” في شريط البحث واضغط على Enter أو انقر فوق “Open”.

انقر فوق زر ابدأ، واكتب "جدولة المهام" في شريط البحث، ثم انقر فوق "يفتح."

يتعين عليك الانتقال إلى مهام Microsoft > Windows. كل ما عليك فعله هو النقر نقرًا مزدوجًا فوق “Task Scheduler Library” (مكتبة مجدول المهام)، ثم “Microsoft”، ثم “Windows”، بهذا الترتيب. وينطبق هذا أيضًا على فتح أي من المهام المدرجة أدناه.


انقر فوق زر ابدأ، واكتب "جدولة المهام" في شريط البحث، ثم انقر فوق "يفتح."

بمجرد وصولك إلى هناك، ستكون مستعدًا لبدء حذف المهام. ينشئ البرنامج الضار ما يصل إلى 8 مهام.

نظرًا لكيفية عمل البرامج الضارة، فقد لا تتمكن من الاستفادة من كافة الخدمات المدرجة.

يجب عليك حذف أي مما يلي الموجود:

  • معرف التطبيق > شهادة التحقق
  • تجربة التطبيق > الصيانة
  • الخدمات > CertPathCheck
  • الخدمات > CertPathw
  • الصيانة > تنظيف المكونات
  • الخدمة > خدمة التنظيف
  • Shell > ObjectTask
  • مقطع > خدمة التنظيف

بمجرد تحديد خدمة ضارة في “مجدول المهام”، انقر بزر الماوس الأيمن فوقها، ثم اضغط على “حذف”.

لا تحذف أي مهام أخرى بخلاف المهام المحددة التي ذكرناها أعلاه. يتم إنشاء معظم المهام هنا بواسطة Windows نفسه أو بواسطة تطبيقات خارجية شرعية.


انقر بزر الماوس الأيمن فوق المهمة، ثم انقر فوق "يمسح."

قم بحذف جميع المهام التي يمكنك العثور عليها من القائمة أعلاه، ثم تكون جاهزًا للانتقال إلى الخطوة التالية.

إزالة الملفات والمجلدات الضارة

يقوم البرنامج الخبيث بإنشاء عدد قليل من الملفات، ولحسن الحظ، يتم تضمينها في ثلاثة مجلدات فقط:

  • ج:\ملف النظام
  • C:\Windows\security\pywinvera
  • C:\Windows\security\pywinveraa

أولاً، افتح مستكشف الملفات. في الجزء العلوي من مستكشف الملفات، انقر فوق “عرض”، ثم انتقل إلى “إظهار”، ثم تأكد من تحديد “العناصر المخفية”.

انقر "منظر،" ثم مرر الماوس فوق "يعرض،" ثم ضع علامة "العناصر المخفية."


ابحث عن مجلد شفاف قليلاً باسم “systemfile”. إذا كان موجودًا هناك، فانقر بزر الماوس الأيمن فوقه واضغط على “حذف”.

وردت بعض التقارير تفيد بأن مجلد ملفات النظام سيظل غير مرئي حتى إذا تم تمكين “عرض المجلدات المخفية”. لا يمكننا تكرار هذا السلوك، ولكن لا يزال يتعين عليك التحقق بنفسك من باب الحيطة والحذر. أدخل المسار “C:\systemfile” في شريط العناوين في مستكشف الملفات ثم اضغط على Enter. إذا كان بإمكانك فتح المجلد عن طريق إدخال المسار يدويًا، ولكن لا يمكنك عرضه في مستكشف الملفات، فيجب عليك استخدام البرنامج النصي المرفق للتأكد من حذف المجلد وكل محتوياته.

تأكد من تحديد المجلدات التي نريد حذفها بشكل صحيح. قد يؤدي حذف مجلدات Windows الحقيقية عن طريق الخطأ إلى حدوث مشكلات. إذا قمت بذلك، فاسترجعها من سلة المحذوفات في أقرب وقت ممكن.

انقر بزر الماوس الأيمن فوق المهمة، ثم انقر فوق "يمسح."


بمجرد حذف مجلد “systemfiles”، انقر نقرًا مزدوجًا فوق مجلد Windows، ثم مرر حتى تجد مجلد “Security”. ابحث عن مجلدين: أحدهما يسمى “pywinvera” والآخر يسمى “pywinveraa”. انقر بزر الماوس الأيمن فوق كل منهما، ثم انقر فوق “حذف”.

حذف pywinvera وpywinveraa

من المحتمل أن يؤدي حذف الملفات والمجلدات داخل مجلد Windows إلى ظهور تحذير بشأن الحاجة إلى امتيازات إدارية. إذا طُلب منك ذلك، فاستمر في السماح بذلك. (لكن تأكد من حذف الملفات والمجلدات التي نذكرها هنا فقط).

لقد انتهيت — على الرغم من الإزعاج الذي يسببه هذا الجزء المحدد من البرامج الضارة، إلا أنه لم يفعل الكثير لحماية نفسه.


التنظيف باستخدام البرنامج النصي

لقد أمضى نفس الأشخاص ذوي النظرة الثاقبة الذين حددوا البرامج الضارة في المقام الأول عطلة نهاية الأسبوع في تحليل الكود الخبيث، وتحديد كيفية عمله، وفي النهاية، كتابة البرنامج النصي لإزالته. نود أن نوجه تحية إلى فريق لجهودهم.

أنت محق في أن تكون حذرًا بشأن الوثوق بأداة مساعدة أخرى من GitHub بالنظر إلى كيفية وصولنا إلى هنا. ومع ذلك، فإن الظروف مختلفة بعض الشيء. على عكس البرنامج النصي المتضمن في تسليم الكود الخبيث، فإن البرنامج النصي للإزالة قصير، وقد قمنا بمراجعته يدويًا — كل سطر على حدة. كما نستضيف الملف بأنفسنا للتأكد من أنه لا يمكن تحديثه دون منحنا الفرصة للتأكد يدويًا من أنه آمن. لقد اختبرنا هذا البرنامج النصي على أجهزة متعددة للتأكد من فعاليته.

أولاً، قم بتنزيل البرنامج النصي المضغوط من موقعنا الإلكتروني، ثم قم باستخراج البرنامج النصي في أي مكان تريده.

ثم يتعين عليك تمكين البرامج النصية. انقر فوق زر “ابدأ”، واكتب “PowerShell” في شريط البحث، ثم انقر فوق “تشغيل كمسؤول”.


انقر "تشغيل كمسؤول."

ثم اكتب أو الصق 

set-executionpolicy remotesigned

في نافذة PowerShell، واضغط على Y. يمكنك بعد ذلك إغلاق نافذة PowerShell.

أدخل الأمر في PowerShell، ثم اضغط على Enter.

انتقل إلى مجلد التنزيلات لديك، وانقر بزر الماوس الأيمن فوق Removal.ps1، وانقر فوق “تشغيل باستخدام PowerShell”. سوف يتحقق البرنامج النصي من المهام والمجلدات والملفات الضارة على نظامك.

انقر "تشغيل مع PowerShell."


إذا كانت موجودة، فسوف يُتاح لك خيار حذفها. اكتب “Y” أو “y” في نافذة PowerShell، ثم اضغط على Enter.

أكد البرنامج النصي وجود البرامج الضارة.

سيقوم البرنامج النصي بعد ذلك بحذف كل البيانات غير المرغوب فيها التي أنشأها البرنامج الضار.

قام البرنامج النصي بإزالة البرامج الضارة.

بمجرد تشغيل البرنامج النصي للإزالة، قم بإرجاع سياسة تنفيذ البرنامج النصي إلى الإعداد الافتراضي. افتح PowerShell كمسؤول، وأدخل 

 set-executionpolicy default

، واضغط على Y. ثم أغلق نافذة PowerShell.


ما الذي نفعله

إن الموقف يتطور، ونحن نراقب الأمور أثناء تطورها. لا تزال هناك بعض الأسئلة التي لم تتم الإجابة عليها — مثل سبب قيام بعض الأشخاص بالإبلاغ عن تثبيت خادم OpenSSH غير المبرر. إذا ظهرت أي معلومات جديدة مهمة، فسنحرص على إطلاعك عليها.

ملاحظة المحرر: على مدار أكثر من 15 عامًا مضت، شهدنا تحول العديد من تطبيقات Windows وملحقات المتصفح إلى الجانب المظلم. ونحن نسعى جاهدين إلى توخي الحذر الشديد والتوصية فقط بالحلول الجديرة بالثقة لقرائنا. ونظرًا للمخاطر المتزايدة التي يشكلها الجهات الخبيثة على المشاريع مفتوحة المصدر، فسوف نكون أكثر حرصًا في التوصيات المستقبلية.

بالإضافة إلى ذلك، نود أن نؤكد مرة أخرى أنه لا يوجد دليل على تعرض معلوماتك الحساسة للخطر. لقد تمت إزالة النطاق الذي يعتمد عليه البرنامج الضار الآن، ولم يعد بإمكان منشئيه التحكم فيه.


مرة أخرى، نود أن نقدم شكرنا الخاص للأشخاص الذين اكتشفوا كيفية عمل البرامج الضارة وقاموا بإنشاء برنامج نصي لإزالتها تلقائيًا. بترتيب غير محدد:

  • بابوماكي
  • بلوقي ذا ديف
  • بلوبابلاسن
  • كاي
  • ليمن0
  • لينوكس يوسر جي دي
  • ميكاسا
  • اختياري م
  • ستائر الشمس
  • زيرجو0
  • زويشو
  • سيرنو
  • هارومان
  • جانم14
  • لوزيديف
  • إكسبلليسيت
  • زيريثر

أضف تعليق