Windows病毒｜木马伪装Android App市场、电脑内有这些档案已中招

Windows 病毒｜这段时间 Android 手机用的 Play Store 频频被病毒问题侵扰，想不到这股风气居然漫延到 Windows 去了？日前有外媒就发现，原来连 Windows 11 用的 Google Play Store 都有木马感染风险，而且用家中招可能依然懵然不知。

Windows 11 专用第三方 Play Store 工具成黑客目标

Microsoft 去年公布 Windows 11 新版本系统时，其中一个广受期待的功能就要数到其原生运行 Android Apps 的能力，然而在正式推出之后，Microsoft 预设就只容许用户以 Amazon App Store 下载 Android Apps，令 Apps 的选择被大大限制。

不过 Windows 的软件环境一向非常开放，在不久之后就有大批开发者为 Windows 11 制作了一批第三方的软件，供 Windows 11 的用户可以直接在系统内造访 Google Play Store 并下载当中的 Android Apps 使用。然而由于第三方软件不需要经 Microsoft 授权即可以任意发布，结果就成为了黑客发起网络攻击的入口。

工具程式内藏木马、中招被骑劫往诈骗网站

在众多有类似功能的工具程式中，其中一个被放到开源软件网站 GitHub 上供人下载的《Powershell Windows Toolbox》就积攅了不少人气；Powershell Windows Toolbox 的功能相当实用，除了上面提及可为 Windows 11 用户安装 Play Store 之外，更可以大幅度修改 Windows 系统，例如卸除部份没有用的预载 Apps、停止 Cortana 运作、甚至可以激活盗版的 Office 或 Windows。

如此方便，当然吸引到不少人下载，但据外媒 Bleeping Computer 证实，Powershell Windows Toolbox 在实用的功能之外，居然还加入了一种难以察觉的 Trojan Clicker 木马程序，在下载、安装时不会即时发作，而是当用户需要用到工具前，开发者就会建议用户手动输入、运行一段看来无害的代码：

然后它就会从网上的另一个 Cloudflare 伺服器中下载入侵电脑所需的恶意程式 － 而正正因为这个操作由用家本身发动，一般的防毒软件并不会将 Powershell Windows Toolbox 定性为病毒，难以事先作出防范。

至于被 Powershell Windows Toolbox 感染的电脑，会下载多个修改电脑设定的木马程式，暂时最明显的作用就是骑劫用户的互联网浏览器，每当用户连上特定网站，就会将他们带到其他不知名的诈骗钓鱼网站，虽然诈骗未必能进一步骗取用户金钱，但这就大大影响到电脑的日常操作用途。

Bleeping Computer 方面提到，如果不幸在早前安装过 Powershell Windows Toolbox 而被感染的话，除了要彻底卸载已安装的档案之外，亦必须要删除以下几个档案尝试脱困：

C:\Windows\security\pywinvera

C:\Windows\security\pywinveraa

C:\Windows\security\winver.png