狡猾的Winos 4.0恶意软件变种利用欺骗性的NSIS 安装程序进行多阶段攻击。该恶意软件甚至会操纵Windows Defender的安全设置,创建例外情况,从而为其提供可乘之机。这些操作的严重后果包括数据窃取、注册表篡改以及未经授权监视您的 PC 活动。
了解 Winos 4.0 恶意软件的危害
Winos 4.0 恶意软件代表着一个高级恶意软件家族,其根源可以追溯到Gh0st RAT。“4.0”标识并非指代特定版本,而是反映了其在一个已存在一年多的更广泛类别中的分类。值得注意的是,2025 年 5 月 22 日,Rapid7 重点介绍了一个利用 VPN 和浏览器安装程序部署有效载荷的 Winos 4.0 变种。
该恶意软件通过部署一个伪造的NSIS 应用程序(该应用程序充当损坏的可执行文件)来引发连锁反应。安装程序名称通常无害,例如QQBrowser_Setup_x64.exe或Lets.15.0.exe,以利用用户的信任。这种狡猾的欺骗手段使 Winos 4.0 特别危险。安装后,它会悄悄植入其他组件,包括VBScript启动器、PowerShell加载器、恶意DLL和配置文件。Rapid7 巧妙地将这种多阶段有效载荷称为Catena 加载器。
Winos 4.0 的一个显著特性是它能够通过静默运行的 PowerShell 命令来保持持久性,这些命令会引入排除项来屏蔽其有效载荷。令人惊讶的是,该恶意软件可能潜伏数周,然后才会激活,获取密码、加密货币信息,并在监控屏幕截图、网络摄像头信号和麦克风音频的同时操纵注册表。该恶意软件完全在内存中运行,类似于Remcos RAT,不会在磁盘上留下任何痕迹,从而避免被检测到。
如何验证安装程序的数字签名
为了保护您的电脑,在安装应用程序之前认真检查其数字签名至关重要。右键单击该应用程序,导航至“属性” -> “数字签名”,然后单击“详细信息” -> “查看证书”以验证安装程序的真实性。
上图展示了对 QQBrowser 数字签名的检查,尽管存在带有伪造 NSIS 安装程序的恶意变体,但该 QQBrowser 仍带有来自应用程序合法开发商腾讯科技的有效签名。
基本 Windows 安全措施
尽管 Winos 4.0 具有欺骗Windows Defender 的狡猾能力,但您仍可以在Windows 安全应用程序中采取足够的步骤来增强防御。
为了阻止执行 NSIS 安装程序,请以管理员模式启动PowerShell并执行以下命令,这可以有效地减少攻击面面积 (ASR),而无需实施全面禁令。
Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
接下来,访问 Windows 安全应用程序。导航至“病毒和威胁防护” -> “病毒和威胁防护设置” -> “管理设置”,确保“实时防护”已激活。
此外,在“病毒和威胁防护”下,滚动到“管理勒索软件防护”。如果“受控文件夹访问”显示为已禁用,请重新激活。您也可以通过“允许应用通过受控文件夹访问”选项将受信任的应用程序列入白名单。
实施这些基本的 Windows 安全保护措施是有效的第一道防线。高级用户还可以考虑强化防火墙设置,专门拦截 Winos 4.0 恶意软件。
防止 Winos 4.0 在 Windows Defender 中进行排除
Winos 4.0 使用的隐蔽策略之一是在 Windows Defender 扫描协议中设置排除项。您可以采取主动措施来阻止此威胁。
以管理员模式打开PowerShell,并使用以下命令添加限制有害脚本的执行策略。闪烁A进行确认。
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Restricted
要限制所有驱动器的未经授权的排除,请在 PowerShell 中执行以下命令:
Remove-MpPreference -ExclusionPath C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\, L:\, M:\, N:\, O:\, P:\, Q:\, R:\, S:\, T:\, U:\, V:\, W:\, X:\, Y:\, Z:
使用自动运行检测伪造的 NSIS 条目
使用微软的Autoruns工具可以帮助追踪不良启动程序,包括可疑的 NSIS 条目。此方法是识别 Winos 4.0 并阻止其执行的最有效方法之一。
首先从Sysinternals 网页下载 Autoruns ZIP 文件。无需安装;只需解压文件并双击Autoruns64(适用于 Windows 64 系统)。它会为您提供活动登录、计划任务和进程的概览。查找红色标记的条目,并密切关注任何与 NSIS 相关的高亮条目。
合法的 Windows 应用安装程序通常不会被怀疑。一旦它们通过SmartScreen(应保持启用状态)并通过 Windows 安全检查,用户通常会认为这些应用程序是安全的——这种假设为 WinOS 4.0 恶意软件提供了入口。通过限制脚本执行来确保 PowerShell 窗口的强大防护可以极大地提高您的防御能力。利用 VirusTotal 等服务来分析安装程序包中是否存在潜在的恶意软件威胁。
常见问题
1.什么是 Winos 4.0 恶意软件?它如何感染我的系统?
Winos 4.0 是一种源自 Gh0st RAT 的高级恶意软件,通常通过伪装成合法应用程序的欺骗性 NSIS 安装程序感染系统。一旦安装,它可以执行多阶段攻击,从而窃取数据并进行监控。
2.如何保护我的计算机免受 Winos 4.0 恶意软件的侵害?
通过验证所有安装程序的数字签名、启用 Windows 安全保护、防止 Windows Defender 中的未经授权的排除以及使用 Autoruns 等工具检测可疑条目来保护您的计算机。
3.有哪些迹象表明我的计算机可能感染了恶意软件?
感染的迹象可能包括系统异常减速、启动时出现无法识别的程序、已安装应用程序出现异常行为或系统频繁崩溃。如果您怀疑感染了病毒,请务必立即使用可靠的防病毒软件扫描您的系统。
发表回复