Windows 11ではAndroidアプリを実行するための機能が導入され、大きな注目を集めています。
公式にはWindows 11で実行できるAndroidアプリはAmazon Appstoreからのみインストールできるとされていますが、Google Playストアをインストールする非公式な方法やツールが存在し、このようなツールの一つである「Powershell Windows Toolbox」がマルウェアだったことがわかりました(Neowin)。
Powershell Windows ToolboxはGitHubでホストされていましたが、ユーザーのLinuxUserGD氏が、暗号化された悪意のあるコードが含まれていることを発見し、その後、ユーザーのSuchByte氏によって問題が提起され、GitHubからは削除されています。
Powershell Windows ToolboxはCloudflare workersを使用してスクリプトを読み込んでおり、難読化されたコードの中に、悪意のあるスクリプトを読み込むPowerShellコードや、脅威の主体と思われるalexrybak0444のGitHubリポジトリからファイルを読み込む処理が含まれていたことが判明したそうです(こちらも削除済み)。
スクリプトは最終的に、Chromium拡張を作成し、何らかアフィリエイトや紹介を通じて収益を上げるために使用されていたと想定されています。
Powershell Windows Toolboxをステムにインストールしてしまった場合、ツールによって作成された以下のコンポーネントを削除することで対処することができます。
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup
また作成された隠しフォルダ「C:\systemfile」も削除する必要があります。システムの復元を行う場合、Powershell Windows Toolboxインストール前の復元ポイントを使用する必要があります。