La variante rusée du malware Winos 4.0 exploite des installateurs NSIS trompeurs pour mener des attaques en plusieurs étapes. Ce malware manipule même les paramètres de sécurité de Windows Defender, créant des exceptions qui lui permettent d’agir. Les conséquences désastreuses de ces actions incluent le vol de données, la falsification du registre et la surveillance non autorisée des activités de votre ordinateur.
Comprendre les dangers du malware WinOS 4.0
Le malware Winos 4.0 représente une famille avancée de logiciels malveillants, dont les origines remontent au RAT Gh0st. La désignation « 4.0 » ne désigne pas une version spécifique, mais reflète son classement dans une catégorie plus large qui existe depuis plus d’un an. Le 22 mai 2025, Rapid7 a notamment mis en évidence une variante de Winos 4.0 utilisant des installateurs VPN et navigateur pour déployer sa charge utile.
Le malware déclenche une réaction en chaîne en déployant une fausse application NSIS, qui se fait passer pour un fichier exécutable corrompu. Les noms des installateurs sont souvent anodins, comme QQBrowser_Setup_x64.exe ou Lets.15.0.exe, et profitent de la confiance des utilisateurs. Ces tactiques de tromperie astucieuses rendent WinOS 4.0 particulièrement dangereux. Lors de l’installation, il installe furtivement des composants supplémentaires, notamment un lanceur VBScript, un chargeur PowerShell, une DLL malveillante et des fichiers de configuration. Rapid7 appelle à juste titre cette charge utile multi-étapes le chargeur Catena.
Une fonctionnalité importante de Winos 4.0 est sa capacité à maintenir sa persistance grâce à des commandes PowerShell silencieuses qui introduisent des exclusions pour protéger sa charge utile.Étonnamment, ce malware peut rester inactif pendant des semaines avant de s’activer, de capturer des mots de passe, des informations de cryptomonnaie et de manipuler le registre tout en surveillant les captures d’écran, les flux de webcam et le son du microphone. Fonctionnant entièrement en mémoire, à l’instar du RAT Remcos, ce malware échappe à la détection en ne laissant aucune trace sur votre disque.
Comment vérifier les signatures numériques des installateurs
Pour protéger votre PC, il est primordial de vérifier soigneusement les signatures numériques des applications avant leur installation. Faites un clic droit sur l’application, accédez à Propriétés -> Signatures numériques, puis cliquez sur Détails -> Afficher le certificat pour vérifier l’authenticité du programme d’installation.
L’image ci-dessus illustre la vérification de la signature numérique de QQBrowser, qui, malgré la disponibilité de variantes malveillantes avec de faux installateurs NSIS, porte une signature valide de Tencent Technology, le développeur légitime de l’application.
Mesures de sécurité essentielles de Windows
Malgré la capacité astucieuse de Winos 4.0 à tromper Windows Defender, il existe de nombreuses mesures que vous pouvez adopter dans l’ application Windows Security pour renforcer vos défenses.
Pour empêcher l’exécution des programmes d’installation NSIS, lancez PowerShell en mode administrateur et exécutez la commande ci-dessous, ce qui réduit efficacement la surface d’attaque (ASR) sans mettre en œuvre une interdiction générale.
Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Ensuite, accédez à l’application Sécurité Windows. Accédez à Protection contre les virus et les menaces -> Paramètres de protection contre les virus et les menaces -> Gérer les paramètres, en vous assurant que la Protection en temps réel est activée.
De plus, sous « Protection contre les virus et les menaces », faites défiler jusqu’à « Gérer la protection contre les rançongiciels ». Si l’accès contrôlé aux dossiers est désactivé, réactivez-le. Vous pouvez également ajouter les applications de confiance à votre liste blanche grâce à l’option « Autoriser une application via l’accès contrôlé aux dossiers ».
La mise en œuvre de ces protections de sécurité Windows fondamentales constitue une première ligne de défense efficace. Les utilisateurs expérimentés peuvent également envisager de renforcer les paramètres de leur pare-feu pour bloquer spécifiquement les logiciels malveillants WinOS 4.0.
Empêcher WinOS 4.0 de créer des exclusions dans Windows Defender
L’une des tactiques insidieuses employées par WinOS 4.0 consiste à créer des exclusions dans les protocoles d’analyse de Windows Defender. Vous pouvez prendre des mesures proactives pour contrer cette menace.
Ouvrez PowerShell en mode administrateur et utilisez la commande ci-dessous pour ajouter des stratégies d’exécution limitant les scripts malveillants. Cliquez sur A pour confirmer.
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Restricted
Pour restreindre les exclusions non autorisées sur tous les lecteurs, exécutez la commande suivante dans PowerShell :
Remove-MpPreference -ExclusionPath C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\, L:\, M:\, N:\, O:\, P:\, Q:\, R:\, S:\, T:\, U:\, V:\, W:\, X:\, Y:\, Z:
Détection de fausses entrées NSIS avec Autoruns
L’utilisation d’ Autoruns, un outil Microsoft, permet de détecter les programmes de démarrage indésirables, notamment les entrées NSIS suspectes. Cette méthode est l’une des plus efficaces pour identifier WinOS 4.0 et empêcher son exécution.
Commencez par télécharger le fichier ZIP Autoruns depuis la page web de Sysinternals. L’installation est inutile ; il suffit de décompresser le fichier et de double-cliquer sur Autoruns64 (pour les systèmes Windows 64).Vous obtiendrez ainsi un aperçu des connexions actives, des tâches planifiées et des processus. Recherchez les entrées signalées en rouge et surveillez attentivement les entrées liées à NSIS qui seront mises en évidence.
Les installateurs d’applications Windows légitimes échappent souvent à tout soupçon. Une fois qu’ils naviguent via SmartScreen (qui doit rester activé) et passent les contrôles de sécurité Windows, les utilisateurs présument souvent que ces applications sont sûres ; cette supposition ouvre la voie aux logiciels malveillants WinOS 4.0. Protéger efficacement votre fenêtre PowerShell en limitant l’exécution des scripts peut considérablement améliorer votre défense. Utilisez des services comme VirusTotal pour analyser les packages d’installation à la recherche de menaces potentielles de logiciels malveillants.
Questions fréquemment posées
1. Qu’est-ce que le malware Winos 4.0 et comment infecte-t-il mon système ?
Winos 4.0 est une forme avancée de malware dérivée du RAT Gh0st. Il infecte généralement les systèmes via des installateurs NSIS trompeurs se faisant passer pour des applications légitimes. Une fois installé, il peut exécuter une attaque en plusieurs étapes menant au vol de données et à la surveillance.
2. Comment puis-je protéger mon ordinateur contre les logiciels malveillants Winos 4.0 ?
Protégez votre ordinateur en vérifiant les signatures numériques de tous les programmes d’installation, en activant les protections de sécurité Windows, en empêchant les exclusions non autorisées dans Windows Defender et en utilisant des outils tels qu’Autoruns pour détecter les entrées suspectes.
3. Quels sont les signes indiquant que mon ordinateur pourrait être infecté par un logiciel malveillant ?
Les signes d’infection peuvent inclure des ralentissements inhabituels du système, des programmes non reconnus au démarrage, un comportement inattendu des applications installées ou des plantages fréquents du système. Si vous suspectez une infection, il est essentiel d’analyser immédiatement votre système avec un logiciel antivirus fiable.
Articles connexes:
Fin prochaine du support de Windows 10 : découvrez vos options de survie
11:04
Comment une application gratuite m’a aidé à surmonter les difficultés de transfert de fichiers
6:10
Adieu à ces 5 applications Microsoft
5:55
Laisser un commentaire