Die raffinierte Schadsoftware Winos 4.0 nutzt betrügerische NSIS-Installationsprogramme für mehrstufige Angriffe. Sie manipuliert sogar die Sicherheitseinstellungen von Windows Defender und erstellt Ausnahmen, die ihr Spielraum für Angriffe geben. Die schwerwiegenden Folgen dieser Aktionen sind Datendiebstahl, Manipulation der Registrierung und unbefugte Überwachung Ihrer PC-Aktivitäten.
Die Gefahren der Winos 4.0-Malware verstehen
Die Winos 4.0-Malware ist eine fortschrittliche Schadsoftware-Familie, deren Wurzeln auf Gh0st RAT zurückgehen. Die Bezeichnung „4.0“ weist nicht auf eine bestimmte Version hin, sondern spiegelt die Einordnung in eine breitere Kategorie wider, die seit über einem Jahr existiert. Am 22. Mai 2025 veröffentlichte Rapid7 eine Winos 4.0-Variante, die VPN- und Browser-Installationsprogramme zur Bereitstellung ihrer Schadsoftware nutzte.
Die Malware löst eine Kettenreaktion aus, indem sie eine gefälschte NSIS-Anwendung einsetzt, die als beschädigte ausführbare Datei fungiert. Die Installationsnamen sind oft harmlos, wie etwa QQBrowser_Setup_x64.exe oder Lets.15.0.exe, und nutzen das Vertrauen der Benutzer. Solche raffinierten Täuschungstaktiken machen WinOS 4.0 besonders gefährlich. Bei der Installation werden heimlich zusätzliche Komponenten abgelegt, darunter ein VBScript- Starter, ein PowerShell- Loader, eine schädliche DLL und Konfigurationsdateien. Rapid7 bezeichnet diese mehrstufige Nutzlast treffend als „ Catena Loader“.
Ein wichtiges Merkmal von Winos 4.0 ist seine Fähigkeit, seine Persistenz durch stille PowerShell-Befehle aufrechtzuerhalten, die Ausnahmen zum Schutz der Schadsoftware einführen. Erstaunlicherweise kann diese Malware wochenlang inaktiv bleiben, bevor sie aktiviert wird. Sie erfasst Passwörter und Kryptowährungsinformationen, manipuliert die Registrierung und überwacht gleichzeitig Screenshots, Webcam-Feeds und Mikrofon-Audio.Ähnlich wie Remcos RAT operiert diese Malware vollständig im Speicher und hinterlässt keine Spuren auf Ihrer Festplatte, sodass sie nicht erkannt wird.
So überprüfen Sie die digitalen Signaturen von Installateuren
Um Ihren PC zu schützen, ist es wichtig, die digitalen Signaturen von Anwendungen vor der Installation sorgfältig zu prüfen. Klicken Sie mit der rechten Maustaste auf die Anwendung, navigieren Sie zu Eigenschaften -> Digitale Signaturen und klicken Sie dann auf Details -> Zertifikat anzeigen, um die Authentizität des Installationsprogramms zu überprüfen.
Das obige Bild veranschaulicht die Überprüfung der digitalen Signatur von QQBrowser, der trotz der Verfügbarkeit bösartiger Varianten mit gefälschten NSIS-Installationsprogrammen eine gültige Signatur von Tencent Technology, dem legitimen Entwickler der Anwendung, trägt.
Wichtige Windows-Sicherheitsmaßnahmen
Trotz der raffinierten Fähigkeit von WinOS 4.0, Windows Defender zu täuschen, gibt es in der Windows-Sicherheits- App zahlreiche Schritte, die Sie unternehmen können, um Ihre Abwehr zu stärken.
Um die Ausführung von NSIS-Installationsprogrammen zu verhindern, starten Sie PowerShell im Administratormodus und führen Sie den folgenden Befehl aus, der die Angriffsfläche (ASR) effektiv reduziert, ohne ein generelles Verbot zu implementieren.
Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Rufen Sie anschließend die Windows-Sicherheitsanwendung auf. Navigieren Sie zu Viren- und Bedrohungsschutz -> Viren- und Bedrohungsschutzeinstellungen -> Einstellungen verwalten und stellen Sie sicher, dass der Echtzeitschutz aktiviert ist.
Scrollen Sie außerdem unter Viren- und Bedrohungsschutz zu Ransomware-Schutz verwalten. Falls der kontrollierte Ordnerzugriff deaktiviert erscheint, aktivieren Sie ihn erneut. Sie können vertrauenswürdige Anwendungen auch über die Option „ App über kontrollierten Ordnerzugriff zulassen“ auf die Whitelist setzen.
Die Implementierung dieser grundlegenden Windows-Sicherheitsmaßnahmen ist eine wirksame erste Verteidigungslinie. Fortgeschrittene Benutzer können außerdem ihre Firewall-Einstellungen verstärken, um gezielt die WinOS 4.0-Malware zu blockieren.
Verhindern, dass WinOS 4.0 Ausnahmen in Windows Defender vornimmt
Eine der heimtückischen Taktiken von Windows 4.0 ist die Bildung von Ausnahmen in den Scan-Protokollen von Windows Defender. Sie können proaktiv Maßnahmen ergreifen, um diese Bedrohung zu verhindern.
Öffnen Sie PowerShell im Administratormodus und verwenden Sie den folgenden Befehl, um Ausführungsrichtlinien hinzuzufügen, die schädliche Skripts einschränken. Drücken Sie zur Bestätigung die Taste A.
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Restricted
Um nicht autorisierte Ausschlüsse auf allen Laufwerken einzuschränken, führen Sie den folgenden Befehl in PowerShell aus:
Remove-MpPreference -ExclusionPath C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\, L:\, M:\, N:\, O:\, P:\, Q:\, R:\, S:\, T:\, U:\, V:\, W:\, X:\, Y:\, Z:
Erkennen gefälschter NSIS-Einträge mit Autoruns
Mit dem Microsoft-Tool „ Autoruns“ können Sie unerwünschte Startprogramme, einschließlich verdächtiger NSIS-Einträge, aufspüren. Diese Methode zählt zu den effektivsten Möglichkeiten, WinOS 4.0 zu identifizieren und seine Ausführung zu verhindern.
Laden Sie zunächst die ZIP-Datei „Autoruns“ von der Sysinternals-Webseite herunter. Eine Installation ist nicht erforderlich. Entpacken Sie die Datei einfach und doppelklicken Sie auf „Autoruns64“ (für Windows 64-Systeme).Dadurch erhalten Sie eine Übersicht über aktive Anmeldungen, geplante Aufgaben und Prozesse. Achten Sie auf rot markierte Einträge und beobachten Sie alle markierten NSIS-bezogenen Einträge.
Seriöse Windows-App-Installer fallen oft nicht ins Visier. Sobald sie SmartScreen (das aktiviert bleiben sollte) durchlaufen und die Windows-Sicherheitsprüfungen bestehen, gehen Benutzer oft davon aus, dass diese Anwendungen sicher sind – und bieten damit ein Einfallstor für WinOS 4.0-Malware. Ein robuster Schutz Ihres PowerShell-Fensters durch die Einschränkung der Skriptausführung kann Ihren Schutz erheblich verbessern. Nutzen Sie Dienste wie VirusTotal, um Installationspakete auf potenzielle Malware-Bedrohungen zu analysieren.
Häufig gestellte Fragen
1. Was ist die Winos 4.0-Malware und wie infiziert sie mein System?
Winos 4.0 ist eine fortgeschrittene Form von Schadsoftware, die vom Gh0st RAT abgeleitet ist. Sie infiziert Systeme typischerweise über irreführende NSIS-Installationsprogramme, die als legitime Anwendungen getarnt sind. Nach der Installation kann die Malware einen mehrstufigen Angriff ausführen, der zu Datendiebstahl und Überwachung führt.
2. Wie kann ich meinen Computer vor der Malware Winos 4.0 schützen?
Schützen Sie Ihren Computer, indem Sie die digitalen Signaturen aller Installationsprogramme überprüfen, den Windows-Sicherheitsschutz aktivieren, nicht autorisierte Ausschlüsse in Windows Defender verhindern und Tools wie Autoruns verwenden, um verdächtige Einträge zu erkennen.
3. Welche Anzeichen deuten darauf hin, dass mein Computer möglicherweise mit Malware infiziert ist?
Anzeichen einer Infektion können ungewöhnliche Systemverlangsamungen, nicht erkannte Programme beim Start, unerwartetes Verhalten installierter Anwendungen oder häufige Systemabstürze sein. Bei Verdacht auf eine Infektion ist es wichtig, Ihr System umgehend mit einer zuverlässigen Antivirensoftware zu scannen.
Ähnliche Artikel:
Erleben Sie Vintage-Musik mit dem Majority Moto Bluetooth-Plattenspieler
9:12
Erstellen Sie Ihren eigenen Android-Bot mit Androidify: Eine Schritt-für-Schritt-Anleitung
9:09
6 PC-Apps, die man unbedingt kaufen muss und die sich immer lohnen
21:05
Schreibe einen Kommentar