狡猾的Winos 4.0惡意軟體變種利用欺騙性的NSIS 安裝程式進行多階段攻擊。該惡意軟體甚至操縱Windows Defender的安全性設置,創建例外情況,為其提供運行空間。這些行為的嚴重後果包括資料竊取、註冊表篡改以及未經授權監視您的 PC 活動。
了解 Winos 4.0 惡意軟體的危害
Winos 4.0 惡意軟體代表了一個先進的惡意軟體家族,其根源可以追溯到Gh0st RAT。 「4.0」這個名稱並不代表特定的版本,而是反映了它在已經存在一年多的更廣泛類別中的分類。值得注意的是,2025 年 5 月 22日,Rapid7 重點介紹了利用 VPN 和瀏覽器安裝程式部署其有效載荷的 Winos 4.0 變體。
該惡意軟體透過部署偽造的NSIS 應用程式(充當損壞的可執行檔)來引發連鎖反應。安裝程式名稱通常無害,例如QQBrowser_Setup_x64.exe或Lets.15.0.exe,受益於使用者信任。如此狡猾的欺騙手段使得 Winos 4.0 特別危險。安裝後,它會秘密地釋放其他元件,包括VBScript啟動器、PowerShell載入器、惡意DLL和設定檔。 Rapid7 適當地將這種多級有效載荷稱為Catena 裝載機。
Winos 4.0 的一個重要特性是它能夠透過引入排除項來屏蔽其有效載荷的靜默 PowerShell 命令來保持持久性。令人驚訝的是,這種惡意軟體可能會潛伏數週,然後啟動、捕獲密碼、加密貨幣資訊並操縱註冊表,同時監控螢幕截圖、網路攝影機饋送和麥克風音訊。與Remcos RAT類似,該惡意軟體完全在記憶體中運行,不會在磁碟上留下任何痕跡,從而避免被偵測到。
如何驗證安裝程式的數位簽名
為了保護您的電腦,在安裝之前認真檢查應用程式的數位簽章至關重要。右鍵單擊應用程序,導航至“屬性” -> “數位簽名”,然後單擊“詳細資料” -> “查看證書”以驗證安裝程序的真實性。
上圖展示了對 QQBrowser 數位簽章的檢查,儘管存在帶有偽造 NSIS 安裝程式的惡意變體,但該 QQBrowser 仍帶有來自應用程式合法開發商騰訊科技的有效簽名。
基本 Windows 安全措施
儘管 Winos 4.0 具有欺騙Windows Defender 的狡猾能力,但您仍可以在Windows 安全應用程式中採取足夠的步驟來增強防禦。
為了阻止執行 NSIS 安裝程序,請以管理員模式啟動PowerShell並執行以下命令,這可以有效地減少攻擊面面積 (ASR),而無需實施全面禁令。
Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
接下來,請造訪 Windows 安全應用程式。導航至病毒和威脅防護->病毒和威脅防護設置->管理設置,確保即時防護已啟動。
此外,在「病毒和威脅防護」下,捲動到「管理勒索軟體防護」。如果受控資料夾存取顯示為停用,請重新啟動它。您也可以透過選項「允許應用程式透過受控資料夾存取」將受信任的應用程式列入白名單。
實施這些基本的 Windows 安全性保護是有效的第一道防線。高級用戶還可以考慮加強他們的防火牆設置,以專門阻止 Winos 4.0 惡意軟體。
防止 Winos 4.0 在 Windows Defender 中進行排除
Winos 4.0 採用的陰險策略之一是在 Windows Defender 掃描協定中形成排除。您可以採取主動措施來阻止這種威脅。
以管理員模式開啟PowerShell,使用下列指令新增限制有害腳本的執行策略。閃爍A確認。
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Restricted
若要限制所有磁碟機的未經授權的排除,請在 PowerShell 中執行下列命令:
Remove-MpPreference -ExclusionPath C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\, L:\, M:\, N:\, O:\, P:\, Q:\, R:\, S:\, T:\, U:\, V:\, W:\, X:\, Y:\, Z:
使用自動執行檢測偽造的 NSIS 條目
使用名為Autoruns的 Microsoft 工具可以協助追蹤不良的啟動程序,包括可疑的 NSIS 條目。此方法是識別 Winos 4.0 並阻止其執行的最有效方法之一。
首先從Sysinternals 網頁下載 Autoruns ZIP 檔案。無需安裝;只需解壓縮檔案並雙擊Autoruns64(適用於 Windows 64 系統)。這為您提供了活動登入、排程任務和流程的概覽。尋找標記為紅色的條目並密切監視任何將被突出顯示的與 NSIS 相關的條目。
合法的 Windows 應用程式安裝程式通常不會受到懷疑。一旦他們通過SmartScreen(應該保持啟用狀態)並通過 Windows 安全性檢查,用戶通常會認為這些應用程式是安全的——這種假設為 Winos 4.0 惡意軟體提供了門戶。透過限制腳本執行來確保 PowerShell 視窗的強大屏蔽可以極大地提高您的防禦能力。利用 VirusTotal 等服務來分析安裝程式包中是否有潛在的惡意軟體威脅。
常見問題
1.什麼是 Winos 4.0 惡意軟體?它如何感染我的系統?
Winos 4.0 是一種源自 Gh0st RAT 的高階惡意軟體,通常透過偽裝成合法應用程式的欺騙性 NSIS 安裝程式感染系統。一旦安裝,它可以執行多階段攻擊,導致資料竊取和監視。
2.如何保護我的電腦免受 Winos 4.0 惡意軟體的侵害?
透過驗證所有安裝程式的數位簽章、啟用 Windows 安全性保護、防止 Windows Defender 中的未經授權的排除以及使用 Autoruns 等工具偵測可疑條目來保護您的電腦。
3.有哪些跡象顯示我的電腦可能感染了惡意軟體?
感染的跡象可能包括異常的系統減速、啟動時無法識別的程式、已安裝的應用程式的意外行為或頻繁的系統崩潰。如果您懷疑感染了病毒,請立即使用可靠的防毒軟體掃描您的系統。
相關文章:
我切換到 Cursor 的體驗:關鍵見解和發現
1:40
如何使用 Chrome 收聽文章
21:31
創建便攜式 PC 診斷 USB:我最喜歡的開源工具
19:08
發佈留言