Technologies expliquées simplement

Alerte Malware Winos 4.0 : Protégez Votre PC des Faux Installateurs NSIS

Image en vedette : Prévenir le malware Winos 4.0 dans Windows

La variante sournoise de malware Winos 4.0 utilise des installateurs NSIS trompeurs pour déclencher des attaques à plusieurs étapes. Elle peut même modifier la sécurité basée sur Windows Defender pour créer une exception, lui laissant de la place pour opérer. Les résultats finaux sont le vol de données, la manipulation du registre et la surveillance du PC. Découvrez nos solutions vérifiées pour stopper ce malware persistant dans son élan.

Pourquoi le Malware Winos 4.0 est Dangereux

Winos 4.0 est une famille de malware sophistiquée, dérivée à l’origine de Gh0st RAT. Le “4.0” n’est qu’un nom, et non une version spécifique du malware. Il existe depuis plus d’un an. Le 22 mai 2025, Rapid 7 a annoncé une variante de Winos 4.0 qui utilise des installateurs VPN et de navigateur pour injecter la charge utile.

Le malware est libéré comme une réaction en chaîne, commençant par une application NSIS fausse, qui est un fichier EXE corrompu. Les noms des installateurs sont innocents, tels que QQBrowser_Setup_x64.exe ou Lets.15.0.exe. Ce qui rend ce malware dangereux, ce sont ces tactiques de tromperie expertes que de nombreux utilisateurs ne remettront pas en question.

Alors que vous installez l’application désirée, elle dépose des fichiers supplémentaires tels qu’un lanceur VBScript, un chargeur PowerShell, une DLL malveillante et des fichiers de configuration. Rapid7 a donné un nom à la charge utile à plusieurs étapes – Catena loader. Pour la persistance, une commande PowerShell silencieuse ajoute des exclusions pour protéger la charge utile. Notamment, le malware Winos 4.0 peut rester dormant pendant des semaines, se réveillant beaucoup plus tard.

En fin de compte, le malware Winos 4.0 capture des mots de passe et des détails de cryptomonnaie, effectue des modifications du registre et surveille les captures d’écran, la webcam et le microphone. Fonctionnant uniquement en mémoire, comme nous l’avons vu avec Remcos RAT, il ne laisse aucune trace sur votre disque, échappant à la détection par les antivirus.

Vérifiez les Signatures Numériques de Tous les Installateurs

Vérifier les signatures numériques de toute application que vous prévoyez d’installer garde votre PC en sécurité. Pour cela, faites un clic droit sur l’application, allez dans Propriétés -> Signatures Numériques. Cliquez sur Détails -> Afficher le Certificat pour vérifier l’authenticité de l’installateur.

Vérification de la signature numérique pour les propriétés du fichier d'installateur QQBrowser.

Ici, nous vérifions la signature numérique de QQBrowser, dont les variantes de malware avec de faux installateurs NSIS sont disponibles. Celui-ci, cependant, a une signature valide authentique de Tencent Technology, la société derrière QQBrowser.

Lié : vérifiez comment vérifier les signatures numériques dans les logiciels Linux.

Activez les Protections de l’Application de Sécurité Windows

Alors que le malware Winos 4.0 trompe Windows Defender, il existe certaines étapes de sécurité que vous pouvez prendre dans l’application de sécurité Windows.

Vous pouvez empêcher les installateurs NSIS de s’exécuter. Pour cela, ouvrez PowerShell en mode administrateur et exécutez la commande suivante pour réduire la Surface d’Attaque (ASR). C’est une commande superbe qui n’impose pas une interdiction générale, mais qui élimine seulement les installateurs malveillants.

Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled

Utilisation de PowerShell pour réduire la

Ensuite, ouvrez l’application de sécurité Windows. Allez dans Protection contre les Virus et Menaces -> Paramètres de Protection contre les Virus et Menaces -> Gérer les Paramètres. Vérifiez pour vous assurer que Protection en Temps Réel est activée.

La

De plus, sous Protection contre les Virus et Menaces, faites défiler vers le bas pour sélectionner Gérer la Protection contre les Ransomwares. Si l’accès au dossier contrôlé est désactivé, réactivez-le. Vous pouvez également cliquer sur Autoriser une Application à Travers l’Accès au Dossier Contrôlé pour mettre sur liste blanche les applications de confiance.

Assurer que l'

Faire ces protections de sécurité Windows minimales est suffisant. Les utilisateurs avancés de Windows peuvent également configurer le pare-feu pour interdire le malware Winos 4.0.

Empêcher le Malware Winos 4.0 d’Ajouter des Exclusions à Windows Defender

Une manière sournoise dont le malware Winos 4.0 se développe dans le système est en ajoutant une exclusion à l’analyse de Windows Defender. Vous pouvez l’empêcher à l’avance.

Ouvrez PowerShell en mode administrateur. Utilisez la commande suivante pour ajouter la politique d’exécution pour les mauvais scripts. Cliquez sur A pour confirmer.

Set-ExecutionPolicy-Scope CurrentUser -ExecutionPolicy Restricted

Politique d'exécution restreinte pour empêcher des applications aléatoires de faire des changements via des scripts PowerShell.

Vous pouvez également empêcher toutes les exclusions non autorisées de s’exécuter dans PowerShell. Cela se fait en utilisant la commande suivante, qui couvre toutes les lettres de lecteur.

Remove-MpPreference -ExclusionPath C:\,D:\,E:\,F:\,G:\,H:\,I:\,J:\,K:\,L:\,M:\,N:\,O:\,P:\,Q:\,R:\,S:\,T:\,U:\,V:\,W:\,X:\,Y:\,Z:\

Prévention des exclusions non autorisées pour PowerShell pour toutes les lettres de lecteur.

Lié : Autoruns est utilisé dans Windows pour gérer de nombreuses tâches planifiées.

Utilisez Autoruns pour Détecter les Entrées NSIS Falsifiées

Un programme Microsoft appelé Autoruns peut être utilisé pour suivre les mauvais programmes de démarrage, y compris les entrées NSIS falsifiées. C’est l’un des moyens les plus simples de détecter le malware Winos 4.0 et ses variantes avant qu’ils ne puissent exécuter leurs charges utiles.

Téléchargez le fichier ZIP d’Autoruns depuis la page Sysinternals. Aucune installation n’est nécessaire. Dézippez simplement le fichier et double-cliquez sur le fichier Autoruns64 (pour les systèmes Windows 64). Ici, vous obtenez une vue d’ensemble de tous les logins actifs, des tâches planifiées et des processus. Vous pourriez repérer des entrées signalées en rouge. Gardez un œil sur toute entrée liée à NSIS, qui sera correctement signalée.

Utilisation d'

Nous soupçonnons rarement les installateurs d’applications Windows légitimes. Une fois qu’ils passent SmartScreen (que vous ne devriez pas désactiver) et les vérifications de sécurité Windows, nous supposons souvent que l’application est sûre, que ce soit un VPN ou un navigateur. C’est là que les auteurs du malware Winos 4.0 ont trouvé un accès facile.

C’est pourquoi nous recommandons de vérifier la crédibilité de votre installateur en utilisant les méthodes ci-dessus. Protéger votre fenêtre PowerShell contre les exécutions de scripts garantit un grand niveau de sécurité. Vous pouvez utiliser VirusTotal et d’autres sites pour scanner les malwares dans les paquets d’installateurs.

Contenu

  1. Pourquoi le Malware Winos 4.0 est Dangereux
  2. Vérifiez les Signatures Numériques de Tous les Installateurs
  3. Activez les Protections de l'Application de Sécurité Windows
  4. Empêcher le Malware Winos 4.0 d'Ajouter des Exclusions à Windows Defender
  5. Utilisez Autoruns pour Détecter les Entrées NSIS Falsifiées
Tableau de bord Ello

Ello : Exploration du Réseau Social Privé

Bitdefender n'installant pas : 3 solutions faciles que vous pouvez utiliser

Plus d'informations sur les corrections de Bitdefender

Google supprime Inbox et lui donne six mois à vivre

rapports-d-aspect-16x9

Comprendre les rapports d'aspect vidéo

Gestionnaire de fichiers avec des étiquettes pour organiser vos fichiers : Top 5

Réparer le réveil sur LAN qui ne fonctionne pas

Wake On LAN ne fonctionne pas sur Windows [Résolu]

easycap-mac-mspacman-console

Utiliser EasyCAP pour capturer des VHS et des consoles sur Mac

Google teste une nouvelle fonctionnalité Chrome pour l'éligibilité à la mise à niveau vers Windows 11