Technologie einfach erklärt

Winos 4.0 Malware-Warnung: Schützen Sie Ihren PC vor gefälschten NSIS-Installern

Vorgestelltes Bild: Verhindern Sie Winos 4.0 Malware in Windows

Die heimtückische Winos 4.0 Malware-Variante nutzt irreführende NSIS-Installer, um mehrstufige Angriffe zu entfesseln. Sie kann sogar die auf Windows Defender basierende Sicherheit anpassen, um eine Ausnahme zu schaffen, die ihr Spielraum gibt. Die Endergebnisse sind Datendiebstahl, Registry-Manipulation und PC-Überwachung. Überprüfen Sie unsere verifizierten Lösungen, um diese hartnäckige Malware zu stoppen.

Warum Winos 4.0 Malware gefährlich ist

Winos 4.0 ist eine ausgeklügelte Malware-Familie, die ursprünglich von Gh0st RAT abgeleitet wurde. Die “4.0” ist nur ein Name und keine spezifische Version der Malware. Sie ist seit über einem Jahr im Umlauf. Am 22. Mai 2025 kündigte Rapid 7 eine Winos 4.0-Variante an, die VPN- und Browser-Installer verwendet, um die Nutzlast einzuschleusen.

Die Malware wird als Kettenreaktion veröffentlicht, beginnend mit einer gefälschten NSIS-Anwendung, die eine korrupte EXE-Datei ist. Die Installationsnamen sind unverdächtig, wie QQBrowser_Setup_x64.exe oder Lets.15.0.exe. Was diese Malware gefährlich macht, sind diese ausgeklügelten Täuschungstaktiken, an denen viele Benutzer keinen Zweifel haben werden.

Während Sie die gewünschte Anwendung installieren, werden zusätzliche Dateien wie ein VBScript-Launcher, ein PowerShell-Loader, eine bösartige DLL und Konfigurationsdateien abgelegt. Rapid7 hat der mehrstufigen Nutzlast einen Namen gegeben – Catena-Loader. Zur Persistenz fügt ein stiller PowerShell-Befehl Ausnahmen hinzu, um die Nutzlast zu schützen. Bemerkenswerterweise kann die Winos 4.0 Malware wochenlang inaktiv bleiben und viel später aktiv werden.

Letztendlich erfasst die Winos 4.0 Malware Passwörter und Kryptowährungsdetails, führt Registry-Änderungen durch und überwacht Screenshots, Webcam und Mikrofon. Sie arbeitet ausschließlich im Speicher, wie wir es bei Remcos RAT gesehen haben, und hinterlässt keine Spuren auf Ihrer Festplatte, wodurch sie der Erkennung durch Antivirenprogramme entgeht.

Überprüfen Sie digitale Signaturen aller Installer

Die Überprüfung der digitalen Signaturen jeder Anwendung, die Sie installieren möchten, hält Ihren PC sicher. Klicken Sie dazu mit der rechten Maustaste auf die Anwendung, gehen Sie zu Eigenschaften -> Digitale Signaturen. Klicken Sie auf Details -> Zertifikat anzeigen, um die Authentizität des Installers zu überprüfen.

Überprüfung der digitalen Signatur für die Eigenschaften der QQBrowser-Installationsdatei.

Hier überprüfen wir die digitale Signatur von QQBrowser, dessen Malware-Varianten mit gefälschten NSIS-Installern verfügbar sind. Dieser hier hat jedoch eine echte gültige Signatur von Tencent Technology, dem Unternehmen hinter QQBrowser.

Verwandt: Überprüfen Sie, wie Sie die digitalen Signaturen in Linux-Software überprüfen können.

Aktivieren Sie die Schutzmaßnahmen der Windows-Sicherheits-App

Während die Winos 4.0 Malware Windows Defender täuscht, gibt es bestimmte Sicherheitsmaßnahmen, die Sie in der Windows-Sicherheits-App ergreifen können.

Sie können verhindern, dass NSIS-Installer ausgeführt werden. Öffnen Sie dazu PowerShell im Administratormodus und führen Sie den folgenden Befehl aus, um die Angriffsoberfläche (ASR) zu reduzieren. Dies ist ein hervorragender Befehl, der kein pauschales Verbot auferlegt, sondern nur die bösartigen Installer herausfiltert.

Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled

Verwendung von PowerShell zur Reduzierung der

Öffnen Sie als Nächstes die Windows-Sicherheits-App. Gehen Sie zu Virus- und Bedrohungsschutz -> Einstellungen für Virus- und Bedrohungsschutz -> Einstellungen verwalten. Überprüfen Sie, ob Echtzeitschutz aktiviert ist.

Scrollen Sie auch unter Virus- und Bedrohungsschutz nach unten, um Ransomware-Schutz verwalten auszuwählen. Wenn Kontrollierter Ordnerzugriff deaktiviert ist, aktivieren Sie ihn wieder. Sie können auch auf Eine App durch kontrollierten Ordnerzugriff zulassen klicken, um vertrauenswürdige Apps auf die Whitelist zu setzen.

Sicherstellen, dass

Diese minimalen Windows-Sicherheitsmaßnahmen sind ausreichend. Fortgeschrittene Windows-Benutzer können auch die Firewall so konfigurieren, dass die Winos 4.0 Malware blockiert wird.

Verhindern Sie, dass Winos 4.0 Malware Ausnahmen zu Windows Defender hinzufügt

Eine heimtückische Möglichkeit, wie sich die Winos 4.0 Malware im System entwickelt, besteht darin, eine Ausnahme von der Windows Defender-Überprüfung hinzuzufügen. Sie können dies im Voraus verhindern.

Öffnen Sie PowerShell im Administratormodus. Verwenden Sie den folgenden Befehl, um die Ausführungsrichtlinie für schlechte Skripte hinzuzufügen. Klicken Sie auf A, um zu bestätigen.

Set-ExecutionPolicy-Scope CurrentUser -ExecutionPolicy Restricted

Eingeschränkte Ausführungsrichtlinie, um zu verhindern, dass zufällige Apps Änderungen über PowerShell-Skripte vornehmen.

Sie können auch verhindern, dass alle unautorisierten Ausnahmen in PowerShell ausgeführt werden. Dies geschieht mit dem folgenden Befehl, der alle Laufwerksbuchstaben abdeckt.

Remove-MpPreference -ExclusionPath C:\,D:\,E:\,F:\,G:\,H:\,I:\,J:\,K:\,L:\,M:\,N:\,O:\,P:\,Q:\,R:\,S:\,T:\,U:\,V:\,W:\,X:\,Y:\,Z:\

Verhindern unautorisierter Ausnahmen für PowerShell für alle Laufwerksbuchstaben.

Verwandt: Autoruns wird in Windows verwendet, um viele geplante Aufgaben zu verwalten.

Verwenden Sie Autoruns, um gefälschte NSIS-Einträge zu erkennen

Ein Microsoft-Programm namens Autoruns kann verwendet werden, um schlechte Startprogramme, einschließlich gefälschter NSIS-Einträge, im Auge zu behalten. Dies ist eine der einfachsten Möglichkeiten, Winos 4.0 Malware und ihre Varianten zu fangen, bevor sie ihre Nutzlast ausführen können.

Laden Sie die Autoruns-ZIP-Datei von der Sysinternals-Webseite herunter. Es ist keine Installation erforderlich. Entpacken Sie einfach die Datei und doppelklicken Sie auf die Autoruns64-Datei (für Windows 64-Systeme). Hier erhalten Sie einen Überblick über alle aktiven Anmeldungen, geplanten Aufgaben und Prozesse. Sie könnten Einträge finden, die rot markiert sind. Achten Sie auf alle NSIS-bezogenen Einträge, die ordnungsgemäß gekennzeichnet sind.

Verwendung von

Wir verdächtigen selten legitime Windows-App-Installer. Sobald sie SmartScreen (das Sie nicht deaktivieren sollten) und Windows-Sicherheitsprüfungen bestehen, nehmen wir oft an, dass die App sicher ist, egal ob es sich um ein VPN oder einen Browser handelt. Hier fanden die Autoren der Winos 4.0 Malware einfachen Zugang.

Deshalb empfehlen wir, die Glaubwürdigkeit Ihres Installers mit den oben genannten Methoden zu überprüfen. Den PowerShell-Fenster vor Skriptausführungen zu schützen, sorgt für ein hohes Maß an Sicherheit. Sie können VirusTotal und andere Websites verwenden, um Malware in Installationspaketen zu scannen.

Inhalt

  1. Warum Winos 4.0 Malware gefährlich ist
  2. Überprüfen Sie digitale Signaturen aller Installer
  3. Aktivieren Sie die Schutzmaßnahmen der Windows-Sicherheits-App
  4. Verhindern Sie, dass Winos 4.0 Malware Ausnahmen zu Windows Defender hinzufügt
  5. Verwenden Sie Autoruns, um gefälschte NSIS-Einträge zu erkennen
Ello-dashboardprofile

Ello: Das Private Soziale Netzwerk Erforschen

Bitdefender installiert nicht: 3 einfache Lösungen, die Sie verwenden können

Mehr über Bitdefender Fixes

Google stellt Inbox ein und gibt ihm sechs Monate zu leben

seitenverhaeltnisse-16x9

Verstehen von Video-Seitenverhältnissen

Dateimanager mit Tags zur Organisation Ihrer Dateien: Top 5

Wake-on-LAN funktioniert nicht

Wake On LAN funktioniert nicht unter Windows [Gelöst]

easycap-mac-mspacman-console

Verwendung von EasyCAP zum Erfassen von VHS und Konsolen auf dem Mac

Google testet neue Chrome-Funktion zur Upgrade-Berechtigung für Windows 11