경고: Windows 11에 Play 스토어를 설치하셨습니까? 지금 읽기

게시 됨: 2022-06-28
스컬 오버 코드
solarseven/Shutterstock.com

2022년 3월에 Windows 11에 Google Play 스토어를 설치하기 위한 지침을 게시했습니다. 이 방법에는 GitHub의 오픈 소스 프로젝트가 포함되었습니다. 안타깝게도 악성코드가 포함되어 있었습니다. 해결 방법은 다음과 같습니다.

중요한 부분을 살펴보겠습니다.

현재로서는 귀하의 민감한 정보가 손상되었다고 믿을 이유가 없습니다.

목차

여기 무슨 일이 있었는지
스크립트가 한 일
그것을 고치는 방법
수동으로 정리
스크립트로 정리하기
우리가 하는 일

여기 무슨 일이 있었는지

Windows 11에는 Android 앱을 설치할 수 있는 기능이 도입되었지만 Google Play 스토어를 통해서는 설치되지 않았습니다. 자연스럽게 사람들은 이 문제를 해결하는 방법을 찾기 시작했습니다. 우리가 게시한 자습서에는 타사 웹 사이트에서 스크립트를 다운로드하는 지침이 포함되어 있습니다. 주말 동안 스크립트 작업을 하는 그룹에서 악성코드가 포함되어 있음을 발견했습니다.

참고: 일부 다른 웹사이트에서도 이 스크립트를 권장했습니다. 다른 웹사이트의 튜토리얼을 따랐더라도 멀웨어가 포함된 스크립트를 다운로드했을 수 있습니다.

스크립트가 한 일

스크립트는 Windows 11 장치에 Google Play 스토어를 설치하는 기능이 포함된 도구(Windows 도구 상자)를 다운로드했습니다. 불행히도 Windows 도구 상자를 다운로드한 스크립트는 광고한 것 이상을 수행했습니다. 또한 일련의 예약된 작업을 설정하고 Chromium 기반 브라우저(Google Chrome, Microsoft Edge 및 Brave)를 대상으로 하는 브라우저 확장을 생성하는 난독화된 코드가 포함되어 있습니다. 언어가 영어로 설정된 Windows PC만 대상이었습니다.

그런 다음 브라우저 확장은 백그라운드에서 "헤드리스" 브라우저 창에서 실행되어 사용자에게 효과적으로 숨겼습니다. 이 때 악성코드를 발견한 그룹은 확장 프로그램의 주 목적이 광고 사기라기보다 사악한 것으로 생각하고 있습니다.

예약된 작업은 또한 몇 가지 다른 목적을 수행하는 소수의 다른 스크립트를 실행했습니다. 예를 들어 PC에서 활성 작업을 모니터링하고 작업 관리자가 열릴 때마다 광고 사기에 사용되는 브라우저와 확장 프로그램을 종료합니다. 시스템이 약간 느리게 작동하는 것을 발견하고 문제를 확인하려고 가더라도 문제를 찾지 못할 것입니다. 9분마다 실행되도록 설정된 별도의 예약된 작업은 브라우저와 확장 프로그램을 다시 시작합니다.

생성된 가장 우려되는 페어 작업은 curl을 사용하여 악성 스크립트를 전달한 원본 웹사이트에서 파일을 다운로드한 다음 다운로드한 모든 것을 실행합니다. 작업은 사용자가 계정에 로그인한 후 9분마다 실행되도록 설정되었습니다. 이론적으로 이것은 현재 악성 코드에 기능을 추가하거나 완전히 별도의 악성 코드를 제공하거나 작성자가 원하는 모든 것을 제공하기 위해 악성 코드에 대한 업데이트를 제공하는 데 사용될 수 있습니다.

운 좋게도 공격의 배후에 있는 사람은 거기에 도달하지 않았습니다. 우리가 아는 한 curl 작업은 "asd"라는 테스트 파일을 다운로드하는 것 외에는 아무 것도 수행하지 않았습니다. curl 작업이 파일을 다운로드한 도메인은 CloudFlare의 신속한 조치 덕분에 제거되었습니다. 즉, 멀웨어가 컴퓨터에서 여전히 실행 중이더라도 다른 것을 다운로드할 수 없습니다. 제거하기만 하면 됩니다.

참고: 반복하자면: Cloudflare가 도메인을 제거했기 때문에 맬웨어는 추가 소프트웨어를 다운로드하거나 명령을 수신할 수 없습니다.

맬웨어 전달이 준비된 방법과 각 작업이 수행하는 작업에 대한 자세한 분석을 읽고 싶다면 GitHub에서 사용할 수 있습니다.

그것을 고치는 방법

지금 바로 이 문제를 해결할 수 있는 두 가지 옵션이 있습니다. 첫 번째는 영향을 받는 모든 파일과 예약된 작업을 직접 수동으로 삭제하는 것입니다. 두 번째는 악성코드를 처음 발견한 사람들이 작성한 스크립트를 사용하는 것입니다.

참고: 현재 컴퓨터에서 실행 중인 경우 이 맬웨어를 탐지하거나 제거하는 바이러스 백신 소프트웨어가 없습니다.

수동으로 정리

먼저 모든 악성 작업을 삭제한 다음 생성된 모든 파일과 폴더를 삭제합니다.

악성 작업 제거

생성된 작업은 모두 작업 스케줄러의 Microsoft > Windows 작업 아래에 묻혀 있습니다. 검색 및 제거 방법은 다음과 같습니다.

시작을 클릭한 다음 검색 표시줄에 "작업 스케줄러"를 입력하고 Enter 키를 누르거나 "열기"를 클릭합니다.

Microsoft > Windows 작업으로 이동해야 합니다. "작업 스케줄러 라이브러리", "Microsoft", "Windows"를 순서대로 두 번 클릭하기만 하면 됩니다. 아래에 나열된 작업을 여는 경우에도 마찬가지입니다.

작업 스케줄러 계층의 예.

여기까지 왔으면 작업 삭제를 시작할 준비가 된 것입니다. 맬웨어는 최대 8개의 작업을 생성합니다.

참고: 맬웨어의 작동 방식 때문에 나열된 서비스 중 일부가 없을 수 있습니다.

존재하는 다음 중 하나를 삭제해야 합니다.

  • AppID > VerifiedCert
  • 애플리케이션 경험 > 유지보수
  • 서비스 > CertPathCheck
  • 서비스 > CertPathw
  • 서비스 > ComponentCleanup
  • 서비스 > 서비스정리
  • 셸 > ObjectTask
  • 클립 > 서비스정리

작업 스케줄러에서 악성 서비스를 식별하면 해당 서비스를 마우스 오른쪽 버튼으로 클릭한 다음 "삭제"를 누르십시오.

경고: 위에서 언급한 정확한 작업 외에 다른 작업을 삭제하지 마십시오. 여기에서 대부분의 작업은 Windows 자체 또는 합법적인 타사 응용 프로그램에 의해 생성됩니다.

찾을 수 있는 위의 목록에서 모든 작업을 삭제하면 다음 단계로 넘어갈 준비가 된 것입니다.

악성 파일 및 폴더 제거

멀웨어는 소수의 파일만 생성하며 운 좋게도 이 파일은 다음 세 폴더에만 포함됩니다.

  • C:\시스템 파일
  • C:\Windows\security\pywinvera
  • C:\Windows\security\pywinveraa

먼저 파일 탐색기를 엽니다. 파일 탐색기 상단에서 "보기"를 클릭하고 "표시"로 이동한 다음 "숨겨진 항목"이 선택되어 있는지 확인합니다.

"systemfile"이라는 약간 투명한 폴더를 찾으십시오. 있는 경우 마우스 오른쪽 버튼으로 클릭하고 "삭제"를 누르십시오.

업데이트: "숨겨진 폴더 보기"가 활성화된 경우에도 systemfile 폴더가 보이지 않는 상태로 유지된다는 보고가 있습니다. 우리는 이 동작을 복제할 수 없지만 여전히 많은 주의를 기울여 스스로를 확인해야 합니다. 파일 탐색기의 주소 표시줄에 "C:\systemfile" 경로를 입력한 다음 Enter 키를 누릅니다. 경로를 수동으로 입력하여 폴더를 열 수 있지만 파일 탐색기에서 볼 수 없는 경우 첨부한 스크립트를 사용하여 폴더와 모든 내용이 삭제되었는지 확인해야 합니다.
경고: 삭제하려는 폴더를 정확하게 식별해야 합니다. 실수로 실제 Windows 폴더를 삭제하면 문제가 발생할 수 있습니다. 그렇게 하면 가능한 한 빨리 휴지통에서 복원하십시오.

"systemfiles" 폴더를 삭제했으면 Windows 폴더를 두 번 클릭한 다음 "Security" 폴더를 찾을 때까지 스크롤합니다. 두 개의 폴더를 찾고 있습니다. 하나는 "pywinvera"이고 다른 하나는 "pywinveraa"입니다. 각각을 마우스 오른쪽 버튼으로 클릭한 다음 "삭제"를 클릭합니다.

pywinvera 및 pywinveraa 삭제

참고: Windows 폴더 내에서 파일 및 폴더를 삭제하면 관리자 권한이 필요하다는 경고가 표시될 수 있습니다. 메시지가 표시되면 허용하십시오. (그러나 여기에서 언급한 정확한 파일과 폴더만 삭제해야 합니다.)

당신은 끝났습니다. 성가신 동안 이 특정 맬웨어는 스스로를 보호하는 데 너무 많은 일을 하지 않았습니다.

스크립트로 정리하기

처음에 멀웨어를 식별한 같은 눈을 가진 사람들은 주말에 악성 코드를 분석하고 작동 방식을 결정하며 궁극적으로 이를 제거하는 스크립트를 작성하는 데 보냈습니다. 우리는 그들의 노력에 대해 팀에 박수를 보내고 싶습니다.

우리가 여기까지 온 방법을 고려할 때 GitHub의 다른 유틸리티를 신뢰하지 않는 것이 맞습니다. 그러나 상황은 약간 다릅니다. 악성 코드 전달과 관련된 스크립트와 달리 제거 스크립트는 짧고 수동으로 한 줄씩 감사했습니다. 또한 파일이 안전한지 수동으로 확인할 기회를 제공하지 않고는 업데이트할 수 없도록 파일을 직접 호스팅하고 있습니다. 이 스크립트가 효과적인지 확인하기 위해 여러 컴퓨터에서 테스트했습니다.

먼저 당사 웹 사이트에서 압축된 스크립트를 다운로드한 다음 원하는 위치에 스크립트를 추출합니다.

그런 다음 스크립트를 활성화해야 합니다. 시작 버튼을 클릭하고 검색 창에 "PowerShell"을 입력한 다음 "관리자 권한으로 실행"을 클릭합니다.

그런 다음 set-executionpolicy remotesigned 를 PowerShell 창에 입력하거나 붙여넣고 Y를 누릅니다. 그런 다음 PowerShell 창을 닫을 수 있습니다.

PowerShell에 명령을 입력한 다음 Enter 키를 누릅니다.

다운로드 폴더로 이동하여 Removal.ps1을 마우스 오른쪽 버튼으로 클릭하고 "PowerShell로 실행"을 클릭합니다. 스크립트는 시스템의 악성 작업, 폴더 및 파일을 확인합니다.

존재하는 경우 삭제할 수 있는 옵션이 제공됩니다. PowerShell 창에 "Y" 또는 "y"를 입력한 다음 Enter 키를 누릅니다.

스크립트에서 악성코드를 확인했습니다.

그런 다음 스크립트는 맬웨어에 의해 생성된 모든 정크를 삭제합니다.

스크립트는 맬웨어를 제거했습니다.

제거 스크립트를 실행한 후에는 스크립트 실행 정책을 기본 설정으로 되돌립니다. PowerShell을 관리자로 열고 set-executionpolicy default 를 입력하고 Y를 누릅니다. 그런 다음 PowerShell 창을 닫습니다.

우리가 하는 일

상황은 진화하고 있으며 우리는 상황을 계속 주시하고 있습니다. 일부 사람들이 설명되지 않는 OpenSSH 서버가 설치되고 있다고 보고하는 이유와 같이 아직 답이 없는 질문이 있습니다. 중요한 새 정보가 밝혀지면 계속 업데이트해 드리겠습니다.

편집자 주: 지난 15년 이상 동안 우리는 많은 Windows 응용 프로그램과 브라우저 확장이 어두운 면으로 변하는 것을 보았습니다. 우리는 믿을 수 없을 정도로 신중하기 위해 노력하고 독자들에게 신뢰할 수 있는 솔루션만을 추천합니다. 악의적인 행위자가 오픈 소스 프로젝트에 제기할 수 있는 위험이 증가하기 때문에 향후 권장 사항에 더욱 충실할 것입니다.

또한 귀하의 민감한 정보가 손상되었다는 증거가 없음을 다시 한 번 강조합니다. 맬웨어가 의존하는 도메인은 이제 제거되었으며 제작자는 더 이상 제어할 수 없습니다.

다시 말하지만, 맬웨어가 어떻게 작동하는지 알아내고 자동으로 제거하는 스크립트를 구축한 사람들에게 특별한 감사를 전합니다. 특별한 순서 없이:

  • 파부마케
  • BlockyTheDev
  • 블러바블라센
  • 케이
  • 림0
  • LinuxUserGD
  • 미카사
  • 옵셔널M
  • 소넨라우퍼
  • 저고0
  • 주에쇼
  • 치르노
  • 하로만
  • Janmm14
  • 루자데프
  • XplliciT
  • 제리테르