En mars 2022, nous avons publié des instructions pour installer le magasin Google Play sur Windows 11. La méthode impliquait un projet open-source de GitHub. Malheureusement, il contenait un logiciel malveillant.

Voici ce qui s’est passé

Windows 11 a introduit la possibilité d’installer des applications Android, mais pas via le Google Play Store. Naturellement, les gens ont commencé à chercher des moyens de contourner ce problème. Le tutoriel que nous avons publié contenait des instructions pour télécharger un script à partir d’un site Web tiers. Au cours du week-end, un groupe travaillant avec ce script a découvert qu’il contenait un logiciel malveillant.

Ce que faisait le script

Le script téléchargeait un outil – Windows Toolbox – qui comprend une fonction permettant d’installer la boutique Google Play sur votre appareil Windows 11. Malheureusement, le script qui téléchargeait le Windows Toolbox faisait plus que ce qu’il annonçait. Il contenait également un code obfusqué qui mettait en place une série de tâches planifiées et créait une extension de navigateur ciblant les navigateurs basés sur Chromium – Google Chrome, Microsoft Edge et Brave. Seuls les PC Windows dont la langue est réglée sur l’anglais étaient visés.

L’extension de navigateur était ensuite exécutée dans une fenêtre de navigateur « sans tête » en arrière-plan, la dissimulant ainsi à l’utilisateur. Pour l’instant, le groupe qui a découvert le malware pense que l’objectif premier de l’extension était la fraude publicitaire, plutôt que quelque chose de plus sinistre.

Les tâches programmées exécutent également une poignée d’autres scripts qui ont des objectifs différents. Par exemple, l’un d’entre eux surveille les tâches actives sur un PC et tue le navigateur et l’extension utilisés pour la fraude publicitaire chaque fois que le gestionnaire de tâches est ouvert. Même si vous remarquez que votre système est un peu lent et que vous cherchez un problème, vous n’en trouverez pas. Une autre tâche planifiée, programmée pour s’exécuter toutes les 9 minutes, redémarre alors le navigateur et l’extension.

La paire de tâches créée la plus inquiétante utilise curl pour télécharger des fichiers depuis le site Web d’origine qui a fourni le script malveillant, puis exécute ce qu’elle a téléchargé. Les tâches étaient configurées pour s’exécuter toutes les 9 minutes après que l’utilisateur se soit connecté à son compte. En théorie, cela aurait pu être utilisé pour fournir des mises à jour du code malveillant afin d’ajouter des fonctionnalités au logiciel malveillant actuel, de fournir un logiciel malveillant totalement différent, ou tout ce que l’auteur voulait.

Heureusement, celui qui était à l’origine de l’attaque n’y est pas parvenu – pour autant que nous le sachions, la tâche curl n’a jamais été utilisée pour autre chose que le téléchargement d’un dossier de test nommé « asd », qui ne faisait rien. Le domaine à partir duquel la tâche curl téléchargeait des fichiers a depuis été supprimé grâce à l’action rapide de CloudFlare. Cela signifie que même si le malware est toujours en cours d’exécution sur votre machine, il ne peut plus rien télécharger. Il vous suffit de le supprimer, et tout est prêt.

Si vous souhaitez lire une analyse détaillée de l’organisation de la diffusion du malware et de l’action de chaque tâche, elle est disponible sur GitHub.

Comment corriger le problème

Deux options sont disponibles pour le moment. La première consiste à supprimer manuellement tous les fichiers et les tâches programmées concernés. La seconde est d’utiliser un script écrit par les personnes qui ont découvert le malware en premier lieu.

Nettoyage manuel

Nous allons commencer par supprimer toutes les tâches malveillantes, puis tous les fichiers et dossiers qu’elles ont créés.
Suppression des tâches malveillantes

Les tâches créées sont toutes enterrées sous les tâches Microsoft > Windows dans le planificateur de tâches. Voici comment les trouver et les supprimer.

Cliquez sur Démarrer, puis tapez « Planificateur de tâches » dans la barre de recherche et appuyez sur Entrée ou cliquez sur « Ouvrir ».

Cliquez sur le bouton Démarrer, tapez « Planificateur de tâches » dans la barre de recherche, puis cliquez sur « Ouvrir ».

Vous devez naviguer dans le dossier Microsoft > Tâches Windows. Il vous suffit de double-cliquer sur « Task Scheduler Library », « Microsoft », puis « Windows », dans cet ordre. Cela vaut également pour l’ouverture de n’importe laquelle des tâches énumérées ci-dessous.

Exemple de hiérarchie du planificateur de tâches.

Une fois que vous y êtes, vous êtes prêt à commencer à supprimer les tâches. Le logiciel malveillant crée jusqu’à 8 tâches.

Vous devez supprimer toutes celles qui sont présentes :

AppID > VerifiedCert
Application Experience > Maintenance
Services > CertPathCheck
Services > CertPathw
Service > ComponentCleanup
Service > ServiceCleanup
Shell > ObjectTask
Clip > ServiceCleanup

Une fois que vous avez identifié un service malveillant dans le planificateur de tâches, faites un clic droit dessus, puis cliquez sur « Supprimer ».

Cliquez avec le bouton droit de la souris sur la tâche, puis cliquez sur « Supprimer ».

Supprimez toutes les tâches de la liste ci-dessus que vous pouvez trouver, puis vous êtes prêt à passer à l’étape suivante.

Suppression des fichiers et dossiers malveillants

Le logiciel malveillant ne crée qu’une poignée de fichiers, et heureusement, ils sont contenus dans seulement trois dossiers :

C:\systemfiles
C:\Windows\security\pywinvera
C:\Windows\security\pywinveraa

Tout d’abord, ouvrez l’Explorateur de fichiers. En haut de l’Explorateur de fichiers, cliquez sur « Affichage », allez sur « Afficher », puis assurez-vous que « Éléments cachés » est coché.

Cliquez sur « Affichage », passez la souris sur « Afficher », puis cochez « Éléments cachés ».

Recherchez un dossier légèrement transparent nommé « systemfile ». S’il est là, faites un clic droit dessus et cliquez sur « Supprimer ».

S’il est présent, faites un clic droit sur « systemfile », puis cliquez sur le bouton « Supprimer ».

Une fois que vous avez supprimé le dossier « systemfiles », double-cliquez sur le dossier Windows, puis faites défiler jusqu’à ce que vous trouviez le dossier « Security ». Vous recherchez deux dossiers : l’un s’appelle « pywinvera » et l’autre « pywinveraa ». Faites un clic droit sur chacun d’eux, puis cliquez sur « Supprimer ».

Supprimer pywinvera et pywinveraa

Vous avez terminé. Bien qu’ennuyeux, ce malware n’a pas fait grand-chose pour se protéger.

Nettoyage à l’aide d’un script

Les personnes qui ont identifié le malware ont également passé le week-end à disséquer le code malveillant, à déterminer son fonctionnement et, finalement, à écrire un script pour le supprimer. Nous tenons à féliciter l’équipe pour ses efforts.

Vous avez raison de vous méfier d’un autre utilitaire de GitHub, compte tenu de la façon dont nous en sommes arrivés là. Cependant, les circonstances sont un peu différentes. Contrairement au script impliqué dans la diffusion du code malveillant, le script de suppression est court, et nous l’avons audité manuellement – chaque ligne.

Nous hébergeons également le fichier nous-mêmes afin de nous assurer qu’il ne peut pas être mis à jour sans nous donner la possibilité de confirmer manuellement qu’il est sûr. Nous avons testé ce script sur plusieurs machines pour nous assurer de son efficacité.

Tout d’abord, téléchargez le script zippé depuis notre site Web, puis extrayez-le où vous voulez.

Ensuite, vous devez activer les scripts. Cliquez sur le bouton Démarrer, tapez « PowerShell » dans la barre de recherche, puis cliquez sur « Exécuter en tant qu’administrateur ».

Cliquez sur « Exécuter en tant qu’administrateur ».

Ensuite, tapez ou collez set-executionpolicy remotesigned dans la fenêtre PowerShell, et appuyez sur Y. Vous pouvez ensuite fermer la fenêtre PowerShell.

Saisissez la commande dans PowerShell, puis appuyez sur Entrée.

Naviguez jusqu’à votre dossier de téléchargements, cliquez avec le bouton droit de la souris sur Removal.ps1, puis cliquez sur « Run with PowerShell » (Exécuter avec PowerShell). Le script va rechercher les tâches, dossiers et fichiers malveillants sur votre système.

Cliquez sur « Exécuter avec PowerShell ».

S’ils sont présents, vous aurez la possibilité de les supprimer. Tapez « Y » ou « y » dans la fenêtre PowerShell, puis appuyez sur Entrée.

Le script confirme le malware.

Le script va ensuite supprimer toutes les ordures créées par le malware.

Le script a supprimé le malware.

Une fois que vous avez exécuté le script de suppression, remettez votre politique d’exécution des scripts aux paramètres par défaut. Ouvrez PowerShell en tant qu’administrateur, entrez set-executionpolicy default , et cliquez sur Y. Fermez ensuite la fenêtre PowerShell.

Ce que nous faisons

La situation évolue et nous gardons un œil sur ce qui se passe. Il y a encore des questions sans réponse, comme la raison pour laquelle certaines personnes signalent l’installation inexpliquée d’OpenSSH Server. Si de nouvelles informations importantes sont mises en lumière, nous vous tiendrons au courant.

En outre, nous tenons à souligner une fois de plus que rien ne prouve que vos informations sensibles ont été compromises. Le domaine dont dépend le malware a été supprimé, et ses créateurs ne peuvent plus le contrôler.

Une fois encore, nous tenons à remercier tout particulièrement les personnes qui ont découvert le fonctionnement du malware et élaboré un script permettant de le supprimer automatiquement. Sans ordre particulier :

Pabumake
BlockyTheDev
blubbablasen
Kay
Limn0
LinuxUserGD
Mikasa
OptionnelM
Sonnenläufer
Zergo0
Zuescho
Cirno
Harromann
Janmm14
luzeadev
XplLiciT
Zeryther