Ostrzeżenie przed złośliwym oprogramowaniem Winos 4.0: Chroń swój komputer przed fałszywymi instalatorami NSIS

Sprytny wariant złośliwego oprogramowania Winos 4.0 wykorzystuje oszukańcze instalatory NSIS do przeprowadzania wieloetapowych ataków. To złośliwe oprogramowanie manipuluje nawet ustawieniami zabezpieczeń programu Windows Defender, tworząc wyjątki, które dają mu pole do działania. Tragiczne konsekwencje tych działań obejmują kradzież danych, manipulację rejestrem i nieautoryzowany nadzór nad działaniami na komputerze.

Zrozumienie zagrożeń związanych ze złośliwym oprogramowaniem Winos 4.0

Oprogramowanie Winos 4.0 stanowi zaawansowaną rodzinę złośliwego oprogramowania, której korzenie sięgają Gh0st RAT. Oznaczenie „4.0” nie wskazuje na konkretną wersję, ale odzwierciedla jej klasyfikację w ramach szerszej kategorii, która istnieje od ponad roku. Co ciekawe, 22 maja 2025 r. Rapid7 wyróżnił wariant Winos 4.0 wykorzystujący instalatory VPN i przeglądarek do wdrażania swojego ładunku.

Malware inicjuje reakcję łańcuchową poprzez wdrożenie fałszywej aplikacji NSIS, która działa jak uszkodzony plik wykonywalny. Nazwy instalatorów są często nieszkodliwe, takie jak QQBrowser_Setup_x64.exe lub Lets.15.0.exe, korzystając z zaufania użytkowników. Takie przebiegłe taktyki oszustwa sprawiają, że Winos 4.0 jest szczególnie niebezpieczny. Po instalacji po cichu upuszcza dodatkowe komponenty, w tym program uruchamiający VBScript, program ładujący PowerShell, złośliwą bibliotekę DLL i pliki konfiguracyjne. Rapid7 trafnie odnosi się do tego wieloetapowego ładunku jako do programu ładującego Catena.

Istotną cechą Winos 4.0 jest jego zdolność do utrzymywania trwałości poprzez ciche polecenia PowerShell, które wprowadzają wykluczenia w celu ochrony ładunku. Co zadziwiające, to złośliwe oprogramowanie może pozostawać uśpione przez tygodnie przed aktywacją, przechwytując hasła, informacje o kryptowalutach i manipulując rejestrem, jednocześnie monitorując zrzuty ekranu, kanały kamery internetowej i dźwięk mikrofonu. Działając całkowicie w pamięci, podobnie jak Remcos RAT, to złośliwe oprogramowanie unika wykrycia, nie pozostawiając żadnych śladów na dysku.

Jak zweryfikować podpisy cyfrowe instalatorów

Aby zabezpieczyć komputer, najważniejsze jest dokładne sprawdzenie podpisów cyfrowych aplikacji przed instalacją. Kliknij prawym przyciskiem myszy aplikację, przejdź do Właściwości -> Podpisy cyfrowe, a następnie kliknij Szczegóły -> Wyświetl certyfikat, aby zweryfikować autentyczność instalatora.

Weryfikowanie podpisu cyfrowego właściwości pliku instalatora QQBrowser.

Powyższy obraz ilustruje sprawdzanie podpisu cyfrowego przeglądarki QQBrowser, która, mimo dostępności złośliwych odmian z fałszywymi instalatorami NSIS, nosi ważny podpis firmy Tencent Technology, legalnego twórcy aplikacji.

Podstawowe środki bezpieczeństwa systemu Windows

Pomimo że system Winos 4.0 potrafi chytrze oszukać program Windows Defender, istnieje wiele kroków, które można podjąć w aplikacji Zabezpieczenia systemu Windows, aby wzmocnić swoje zabezpieczenia.

Aby zapobiec uruchomieniu instalatorów NSIS, uruchom program PowerShell w trybie administratora i wykonaj poniższe polecenie. Skutecznie zmniejszy to obszar ataku (ASR) bez konieczności wprowadzania całkowitego zakazu.

Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled

Użycie programu PowerShell do zmniejszenia obszaru ataku (ASR) fałszywych instalatorów NSIS.

Następnie uzyskaj dostęp do aplikacji Zabezpieczenia systemu Windows. Przejdź do Ochrona przed wirusami i zagrożeniami -> Ustawienia ochrony przed wirusami i zagrożeniami -> Zarządzaj ustawieniami, upewniając się, że Ochrona w czasie rzeczywistym jest aktywowana.

Ochronę w czasie rzeczywistym można włączyć w ustawieniach Ochrony przed wirusami i zagrożeniami w programie Zabezpieczenia systemu Windows.

Ponadto, w obszarze Ochrona przed wirusami i zagrożeniami przewiń do pozycji Zarządzaj ochroną przed oprogramowaniem ransomware. Jeśli opcja Kontrolowany dostęp do folderu jest wyłączona, aktywuj ją ponownie. Możesz również dodać zaufane aplikacje do białej listy za pomocą opcji Zezwalaj aplikacji na dostęp do kontrolowanego folderu.

Upewnij się, że w ustawieniach Ochrony przed oprogramowaniem wymuszającym okup w zabezpieczeniach systemu Windows włączona jest opcja Kontrolowany dostęp do folderów.

Wdrożenie tych podstawowych zabezpieczeń Windows Security jest skuteczną pierwszą linią obrony. Zaawansowani użytkownicy mogą również rozważyć wzmocnienie ustawień zapory, aby blokować złośliwe oprogramowanie Winos 4.0.

Zapobieganie tworzeniu wyjątków w programie Windows Defender przez system Winos 4.0

Jedną z podstępnych taktyk stosowanych przez Winos 4.0 jest tworzenie wykluczeń w protokołach skanowania Windows Defender. Możesz podjąć środki zapobiegawcze, aby zapobiec temu zagrożeniu.

Otwórz PowerShell w trybie administratora i użyj poniższego polecenia, aby dodać zasady wykonywania, które ograniczają szkodliwe skrypty. Flash A, aby potwierdzić.

Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Restricted

Zasady ograniczonego wykonywania zapobiegające wprowadzaniu zmian przez losowe aplikacje za pomocą skryptów programu PowerShell.

Aby ograniczyć nieautoryzowane wykluczenia na wszystkich dyskach, wykonaj następujące polecenie w programie PowerShell:

Remove-MpPreference -ExclusionPath C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\, L:\, M:\, N:\, O:\, P:\, Q:\, R:\, S:\, T:\, U:\, V:\, W:\, X:\, Y:\, Z:

Zapobieganie nieautoryzowanym wykluczeniom w programie PowerShell dla wszystkich liter dysków.

Wykrywanie fałszywych wpisów NSIS za pomocą autorunów

Zastosowanie narzędzia Microsoft o nazwie Autoruns może pomóc w śledzeniu niepożądanych programów startowych, w tym podejrzanych wpisów NSIS. Ta metoda jest jednym z najskuteczniejszych sposobów identyfikacji Winos 4.0 i zapobiegania jego uruchomieniu.

Zacznij od pobrania pliku ZIP Autoruns ze strony internetowej Sysinternals. Instalacja nie jest konieczna; po prostu rozpakuj plik i kliknij dwukrotnie na Autoruns64 (dla systemów Windows 64).Daje to przegląd aktywnych logowań, zaplanowanych zadań i procesów. Szukaj wpisów oznaczonych na czerwono i uważnie monitoruj wszystkie wpisy związane z NSIS, które zostaną podświetlone.

Legalne instalatory aplikacji Windows często unikają podejrzeń. Po przejściu przez SmartScreen (który powinien pozostać włączony) i przejściu kontroli zabezpieczeń systemu Windows użytkownicy często zakładają, że te aplikacje są bezpieczne — to założenie stanowi furtkę dla złośliwego oprogramowania Winos 4.0. Zapewnienie solidnej ochrony dla okna programu PowerShell poprzez ograniczenie wykonywania skryptów może znacznie poprawić obronę. Skorzystaj z usług takich jak VirusTotal, aby analizować pakiety instalatorów pod kątem potencjalnych zagrożeń złośliwym oprogramowaniem.

Często zadawane pytania

1. Czym jest złośliwe oprogramowanie Winos 4.0 i w jaki sposób infekuje mój system?

Winos 4.0 to zaawansowana forma złośliwego oprogramowania pochodząca z Gh0st RAT, zazwyczaj infekująca systemy za pomocą oszukańczych instalatorów NSIS, które są zamaskowane jako legalne aplikacje. Po zainstalowaniu może wykonać wieloetapowy atak prowadzący do kradzieży danych i nadzoru.

2. Jak mogę chronić swój komputer przed złośliwym oprogramowaniem Winos 4.0?

Chroń swój komputer, weryfikując podpisy cyfrowe wszystkich instalatorów, włączając zabezpieczenia systemu Windows, zapobiegając nieautoryzowanym wyjątkom w programie Windows Defender i używając narzędzi, takich jak Autoruns, w celu wykrywania podejrzanych wpisów.

3. Jakie są oznaki, że mój komputer może być zainfekowany złośliwym oprogramowaniem?

Oznaki infekcji mogą obejmować nietypowe spowolnienia systemu, nierozpoznane programy podczas uruchamiania, nieoczekiwane zachowanie zainstalowanych aplikacji lub częste awarie systemu. Jeśli podejrzewasz infekcję, konieczne jest natychmiastowe przeskanowanie systemu za pomocą niezawodnego oprogramowania antywirusowego.

Źródło i obrazy