Winos 4.0 マルウェア警告: 偽の NSIS インストーラーから PC を保護する

特集画像: Windows で Winos 4.0 マルウェアを防ぐ

狡猾な Winos 4.0 マルウェアの変種は、欺瞞的な NSIS インストーラーを使用して多段階攻撃を展開しています。これは、Windows Defender ベースのセキュリティを調整して例外を作成し、動作する余地を与えることさえできます。最終的な結果は、データの盗難、レジストリの改ざん、PC の監視です。この持続的なマルウェアを阻止するための検証済みの解決策をチェックしてください。

Winos 4.0 マルウェアが危険な理由

Winos 4.0 は、元々 Gh0st RAT に由来する高度なマルウェアファミリーです。「4.0」は単なる名前であり、マルウェアの特定のバージョンではありません。これは 1 年以上前から存在しています。2025 年 5 月 22 日、Rapid 7 は VPN およびブラウザインストーラーを使用してペイロードを注入する Winos 4.0 の変種を発表しました。

このマルウェアは、偽の NSIS アプリケーションから始まる連鎖反応としてリリースされます。これは、破損した EXE ファイルです。インストーラーの名前は、QQBrowser_Setup_x64.exe や Lets.15.0.exe など、無防備なものです。このマルウェアが危険な理由は、多くのユーザーが疑わない専門的な欺瞞戦術です。

希望のアプリケーションをインストールしている間に、VBScript ローンチャー、PowerShell ローダー、悪意のある DLL、構成ファイルなどの追加ファイルがドロップされます。Rapid7 は、この多段階ペイロードに Catena ローダーという名前を付けました。持続性のために、サイレント PowerShell コマンドがペイロードを保護するための除外を追加します。特に、Winos 4.0 マルウェアは数週間休眠することができ、後で活動を開始します。

最終的に、Winos 4.0 マルウェアはパスワードや暗号通貨の詳細をキャプチャし、レジストリの変更を行い、スクリーンショット、ウェブカメラ、マイクを監視します。Remcos RAT で見たように、メモリ内でのみ動作し、ディスクに痕跡を残さず、ウイルス対策ソフトウェアによる検出を回避します。

すべてのインストーラーのデジタル署名を確認する

インストール予定のアプリケーションのデジタル署名を確認することで、PC を安全に保つことができます。これには、アプリケーションを右クリックし、プロパティ -> デジタル署名に移動します。詳細をクリックし、証明書の表示を選択してインストーラーの信頼性を確認します。

QQBrowser インストーラーのプロパティのデジタル署名を確認しています。

ここでは、偽の NSIS インストーラーを持つマルウェア変種が存在する QQBrowser のデジタル署名を確認しています。ただし、これは QQBrowser の背後にある Tencent Technology によって有効な署名を持っています。

関連: Linux ソフトウェアでデジタル署名を確認する方法を確認してください。

Windows セキュリティアプリの保護を有効にする

Winos 4.0 マルウェアが Windows Defender を欺く一方で、Windows セキュリティアプリ内で取ることができる特定のセキュリティ手順があります。

NSIS インストーラーの実行を防ぐことができます。これには、管理者モードで PowerShell を開き、次のコマンドを実行して攻撃面を減少させます (ASR)。これは、包括的な禁止を課すのではなく、悪意のあるインストーラーのみを排除する優れたコマンドです。

Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled

偽の NSIS インストーラーの「攻撃面 (ASR)」を減少させるために PowerShell を使用しています。

次に、Windows セキュリティアプリを開きます。ウイルスと脅威の保護 -> ウイルスと脅威の保護設定 -> 設定の管理に移動します。リアルタイム保護がオンになっていることを確認してください。

Windows セキュリティのウイルスと脅威の保護設定で「リアルタイム保護」がオンになっています。

また、ウイルスと脅威の保護の下にスクロールして、ランサムウェア保護の管理を選択します。制御フォルダーアクセスがオフの場合は、再度オンにします。さらに、制御フォルダーアクセスを通じてアプリを許可をクリックして、信頼できるアプリをホワイトリストに追加できます。

Windows セキュリティのランサムウェア保護設定で「制御フォルダーアクセス」がオンになっていることを確認しています。

これらの最低限の Windows セキュリティ保護を行うだけで十分です。高度な Windows ユーザーは、Winos 4.0 マルウェアを許可しないようにファイアウォールを構成することもできます。

Winos 4.0 マルウェアが Windows Defender に除外を追加するのを防ぐ

Winos 4.0 マルウェアがシステム内で発展する狡猾な方法は、Windows Defender スキャンから除外を追加することです。これを事前に防ぐことができます。

管理者モードで PowerShell を開きます。悪意のあるスクリプトの実行ポリシーを追加するために次のコマンドを使用します。確認するには A をクリックします。

Set-ExecutionPolicy-Scope CurrentUser -ExecutionPolicy Restricted

PowerShell スクリプトを通じてランダムなアプリが変更を加えるのを防ぐための制限された実行ポリシー。

また、PowerShell ですべての未承認の除外が実行されるのを防ぐこともできます。これは、すべてのドライブレターをカバーする次のコマンドを使用して行います。

Remove-MpPreference -ExclusionPath C:\,D:\,E:\,F:\,G:\,H:\,I:\,J:\,K:\,L:\,M:\,N:\,O:\,P:\,Q:\,R:\,S:\,T:\,U:\,V:\,W:\,X:\,Y:\,Z:\

すべてのドライブレターの PowerShell に対する未承認の除外を防いでいます。

関連: Autoruns は、Windows で多くのスケジュールされたタスクを管理するために使用されます。

Autoruns を使用して偽の NSIS エントリを検出する

Microsoft のプログラムである Autoruns を使用して、悪質なスタートアッププログラム、特に偽の NSIS エントリを追跡できます。これは、Winos 4.0 マルウェアとその変種をペイロードを実行する前に捕まえる最も簡単な方法の一つです。

Sysinternals ウェブページから Autoruns ZIP ファイルをダウンロードします。インストールは必要ありません。ファイルを解凍し、Autoruns64 ファイルをダブルクリックします (Windows 64 システム用)。ここでは、すべてのアクティブなログオン、スケジュールされたタスク、およびプロセスの全体像を得ることができます。赤でフラグが立てられたエントリを見つけるかもしれません。適切にフラグが立てられた NSIS 関連のエントリに注意してください。

Windows で疑わしい NSIS エントリを探すために「Autoruns」を使用しています。

私たちは、正当な Windows アプリのインストーラーを疑うことはほとんどありません。彼らが SmartScreen (無効にすべきではありません) と Windows セキュリティのチェックを通過すると、私たちはしばしばアプリが安全であると仮定します。これは、Winos 4.0 マルウェアの著者が簡単にアクセスできる場所です。

だからこそ、上記の方法を使用してインストーラーの信頼性を確認することをお勧めします。スクリプトの実行から PowerShell ウィンドウを保護することで、大きな安全性が確保されます。VirusTotal やその他のウェブサイトを使用して、インストーラーパッケージ内のマルウェアをスキャンできます。