أطلقت مايكروسوفت تحديث ويندوز 11 رسميًا لجميع الأجهزة المدعومة في الخامس من أكتوبر العام الماضي، وبالتأكيد فقد سمعت أن أبرز خاصية يقدمها النظام الجديد هي دعمه تشغيل تطبيقات أندرويد دون الحاجة لتحميل أي محاكيات خارجية، وذلك عن طريق نظام ملحق بالنظام الأساسي يشكل منصة مدمجة "Subsystem" تدعم تثبيت وتشغيل تطبيقات APK.

وعلى الرغم من أن تلك الخاصية لفتت أنظار فئة كبيرة من الجمهور الذي بات ينتظر وصول التحديث الرسمي ليتمكن من تجربة تلك الميزة الثورية؛ إلا أن مايكروسوفت -وحتى تاريخ كتابة هذا المقال- لم تفعّل الخاصية بشكل رسمي لجميع المستخدمين. فحاليًا لا يمكنك تنصيب أي من تطبيقات أندرويد إلا عن طريق متجر أمازون للتطبيقات "Amazon Appstore" المتاح فقط في الولايات المتحدة وجاء ذلك نتيجة التعاون بين الشركتين والذي كان السبب الرئيسي في دعم هذه الفكرة الجريئة.

وكما هو السيناريو المتوقع لأي نظام تشغيل يضم جمهورًا من المستخدمين الشغوفين، ولأن الممنوع دائمًا مرغوب، أثار هذا الأمر شهوة شركات البرمجيات والمطورين بشكل أساسي لاستغلال حاجة المستخدمين لوجود طريقة أخرى أو وسيلة لتفعيل تطبيقات أندرويد على أنظمة ويندوز 11 دون المرور بمتجر تطبيقات أمازون ذاك!

فبدؤوا بتحليل الأكواد البرمجية للنظام الجديد للوصول إلى طريقة تمكنهم من حل المشكلة، وسرعان ما ضجت مواقع التكنولوجيا بطرق عديدة -غير رسمية- لتنصيب المتجر الرسمي لتطبيقات أندرويد، "جوجل بلاي" على ويندوز 11، وكان من أشهر هذه الطرق وأكثرها انتشاراً هي الدخول إلى إعدادات المطورين داخل محاكي أندرويد الموجود في ويندوز وإعادة هيكلة منصة التشغيل عن طريق أداة تسمى "Powershell Windows Toolbox" والتي تقوم بتنصيب متجر جوجل بلاي بشكل غير رسمي على نظام تشغيل ويندوز 11، ما يتيح لك تثبيت تطبيقات أندرويد بسهولة.

 أداة Powershell Windows Toolbox

في ظاهر الأمر -كما هو مبين بالصورة السابقة للوصف الذي وضعه المطور- فإن الأداة هي أداة فعالة وآمنة وتحتوي على ميزات مفيدة للمستخدمين كإزالة التطبيقات غير المفيدة وتسريع الأداء ..إلخ. وانتشرت كالنار في الهشيم، وأصبحت الطريقة شبه الرسمية لتفعيل متجر تطبيقات جوجل بلاي على أنظمة ويندوز 11!

ولكن اتضح فيما بعد أن هذه الأداة هي حصان طروادة

صدمنا جميعًا في وقتِ لاحقِ أن تفعيل متجر جوجل بلاي هو مجرد إضافة بسيطة أو غطاء تستخدمه تلك الأداة لتنفيذ نواياها الحقيقية، والتي تتمثل في إقصاء عدد من الأكواد البرمجية الخبيثة وغير الواضحة لتثبيت التطبيقات الضارة على جهازك وسرقة بياناتك وتثبيت ما يعرف باسم حصان طروادة أو Trojan clicker.

Trojan clicker: أحد أنواع ملفات طروادة الخبيثة، حيث يخزَّن في ذاكرة النظام ويحاول باستمرار أو بانتظام الاتصال بمواقع ويب معينة. ويتم إجراء ذلك لتضخيم عدادات الزيارة للمواقع المحددة مسبقاً من قبل مطوري الفيروس

حيث صدر تقرير من موقع Bleepingcomputer مفاده أن النص البرمجي الخبيث المتواجد في الأداة أصاب بالفعل أجهزة المستخدمين بإضافات كروم ضارة، بجانب برامج نصية مشكوك فيها، حيث أوضح التقرير أن تلك النصوص البرمجية المخفية تقوم بإنشاء مهام مجدولة في ويندوز 11 مثل إنهاء بعض العمليات والمهام وإنشاء أخرى لتكوين متغيرات مختلفة، وإحباط بعض العمليات. كما أنشأت أيضاً مجلداُ مخفياً في المسار c:\systemfile ثم قامت بنسخ ملفات تعريف الارتباط "الكوكيز" من متصفحات كروم، إيدج وبراف ونسخها إلى هذا المجلد.

فيما يلي أسماء المهام المجدولة التي تم رصدها:

Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup

ينشئ هذا النص أيضًا امتداد Chromium ضارًا في هذا المجلد المخفي، حيث يتم فيه تخزين المعلومات الجغرافية للضحية "المستخدم" التي يتم تجميعها من المتصفحات المبنية على هذه النواة.

ولا يتوقف الأمر هنا، بل يتم أيضًا إعادة توجيه المستخدم  إلى روابط وإحالات خارجية، وبشكل أكثر تحديداً فقد أفاد التقرير أن المستخدمين الذين يزورون موقع واتساب ويب سيتم إعادة توجيههم إلى عناوين URL تحمل نطاق "tei.ai" مرتبطة بعمليات احتيال "كسب أموال"، وتطبيقات وألعاب غير مرغوب فيها، بالإضافة إلى عمليات الاحتيال الخاصة بإشعارات المتصفح. وقد يصل الأمر إلى تهديد المستخدم بالبيانات التي تم جمعها مقابل دفع مبالغ طائلة "هجمات فدية".

ولا يتوقف الأمر إلى هنا!

فقد أشار الموقع أيضاً إلى أن هذه الأداة تقوم وبشكل ذكي للغاية ومثير للسخرية في نفس الوقت، باستغلال خدمات شركة من أضخم الشركات المعروفة حول العالم في حماية وتأمين مواقع الويب، نشير هنا إلى شركة "Cloudflare" وهي شركة إنترنت أمريكية عالمية تتخصص في زيادة سرعة مواقع الويب وحمايتها وتأمينها عبر شبكة ضخمة من الخوادم.

حيث كشف بعض المبرمجين الذين قاموا بتحليل أداة Powershell Windows Toolbox الملغمة، أن نصها البرمجي يحتوى في الأسطر 762 و 2357 على رموز غامضة لا يبدو للوهلة الأولى أنها تشكل أي خطر. ولكن عند فك تشفيرها، تتحول إلى كود «PowerShell» تبين أنه يقوم بتحميل برامج نصية ضارة من تلك الشركة التي ذكرناها، مستفيدين بذلك من استضافتهم على مخدّمات موثوقة يصعب الشك فيها، بالإضافة إلى ملفات من سحابة GitHub (موضحة بالصورة التالية)

تحتوي هذه السحابة على العديد من الملفات المعاد تسميتها، بما في ذلك توزيعات بايثون، بالإضافة إلى حزم بصيغة 7Zip قابلة للاستخراج ونصوص كورل وغيرها، ولكن لم يتم تأكيد أثرها على أنظمة التشغيل وبيانات المستخدمين بعد.

كيف تتصرف في حال استخدمت أداة Powershell Windows Toolbox

إذا كنت من الذين لم يحالفهم الحظ وقاموا باستخدام تلك الأداة الملغمة لتثبيت تطبيقات أندرويد على نظام ويندوز 11 لديك، فيجب أن تبدأ بالتحقق من وجود مهام مجدولة غير مألوفة، وذلك عن طريق فتح نافذة البحث لديك وكتابة «Task scheduler» وفتحه، ثم مطابقة المهام الموجودة مع المهام التي سبق ذكرها في هذا المقال

Task schedule

لا تنس أيضًا المجلدات المخفية التي تقوم بجمع بياناتك بشكل غير قانوني والتي أشرنا إليها أيضاً في هذا المقال، ولكي تتمكن من رؤيتها فاذهب إلى نافذة البحث مرة أخرى واكتب «File Explorer Options» ثم توجه إلى نافذة «View» واختر «Show Hidden files» ثم اضغط Apply وأغلق النافذة.

ستلاحظ الآن أن جميع المجلدات والملفات المخفية أصبحت تظهر لك، قم الآن بالتوجه إلى المسار c:\systemfile والتأكد من عدم وجود أي مجلدات مثيرة للشبهات.

وأخيرًا، احذف ملفات Python المتعلقة بهذه العمليات والمجلدات المرتبطة بها في المسارات التالية:

C:\Windows\security\pywinvera 
C:\Windows\security\pywinveraa 
C:\Windows\security\winver.png 

في جميع الأحوال، كن حذراً دائماً عند تنزيل أي أداة تدعي تغيير النهج الرسمي والالتفاف حول إعدادات نظام التشغيل، وحافظ على تحديث برنامج مكافحة الفيروسات الخاص بك، وتأكد جيداً من المصادر التي تقوم بتحميل ملفاتك منها على الإنترنت، ولا تثق بأي موقع مشبوه حتى لو اضطررت للتخلي عن بعض البرامج، فأمان ملفاتك لا يقدر بثمن.