Winos 4.0 악성코드 경고: 가짜 NSIS 설치 프로그램으로부터 PC 보호하기

특징 이미지: Windows에서 Winos 4.0 악성코드 방지

교활한 Winos 4.0 악성코드 변종이 기만적인 NSIS 설치 프로그램을 사용하여 다단계 공격을 시작하고 있습니다. 이 악성코드는 Windows Defender 기반 보안을 조정하여 예외를 생성하고 작동할 공간을 제공합니다. 최종 결과는 데이터 도용, 레지스트리 변조 및 PC 감시입니다. 이 지속적인 악성코드를 저지하기 위한 검증된 솔루션을 확인해 보세요.

Winos 4.0 악성코드가 위험한 이유

Winos 4.0은 Gh0st RAT에서 파생된 정교한 악성코드 패밀리입니다. “4.0”은 단지 이름일 뿐, 악성코드의 특정 버전이 아닙니다. 이 악성코드는 1년 이상 존재해 왔습니다. 2025년 5월 22일, Rapid 7은 VPN 및 브라우저 설치 프로그램을 사용하여 페이로드를 주입하는 Winos 4.0 변종을 발표했습니다.

이 악성코드는 가짜 NSIS 애플리케이션에서 시작되는 연쇄 반응으로 배포되며, 이는 손상된 EXE 파일입니다. 설치 프로그램 이름은 QQBrowser_Setup_x64.exe 또는 Lets.15.0.exe와 같이 의심을 주지 않습니다. 이 악성코드가 위험한 이유는 많은 사용자가 의심하지 않을 전문가의 기만 전술입니다.

원하는 애플리케이션을 설치하는 동안 VBScript 실행기, PowerShell 로더, 악성 DLL 및 구성 파일과 같은 추가 파일이 드롭됩니다. Rapid7은 다단계 페이로드에 Catena 로더라는 이름을 붙였습니다. 지속성을 위해, 조용한 PowerShell 명령이 페이로드를 보호하기 위해 예외를 추가합니다. 특히, Winos 4.0 악성코드는 몇 주 동안 잠복할 수 있으며, 훨씬 나중에 작동을 시작합니다.

궁극적으로, Winos 4.0 악성코드는 비밀번호와 암호화폐 세부정보를 캡처하고, 레지스트리 변경을 수행하며, 스크린샷, 웹캠 및 마이크를 모니터링합니다. Remcos RAT에서 보았듯이, 메모리에서만 작동하며, 디스크에 흔적을 남기지 않아 안티바이러스의 탐지를 피합니다.

모든 설치 프로그램의 디지털 서명 확인

설치할 애플리케이션의 디지털 서명을 확인하는 것은 PC를 안전하게 유지하는 데 도움이 됩니다. 이를 위해 애플리케이션을 마우스 오른쪽 버튼으로 클릭하고 속성 -> 디지털 서명으로 이동합니다. 세부정보를 클릭한 후 인증서 보기를 클릭하여 설치 프로그램의 진위를 확인합니다.

QQBrowser 설치 파일의 속성에서 디지털 서명 확인.

여기서는 가짜 NSIS 설치 프로그램이 있는 QQBrowser의 디지털 서명을 확인하고 있습니다. 그러나 이 파일은 QQBrowser의 뒤에 있는 Tencent Technology의 유효한 서명이 있습니다.

관련: Linux 소프트웨어에서 디지털 서명을 확인하는 방법을 확인하세요.

Windows 보안 앱 보호 기능 활성화

Winos 4.0 악성코드가 Windows Defender를 속이는 동안, Windows 보안 앱 내에서 취할 수 있는 특정 보안 단계가 있습니다.

NSIS 설치 프로그램의 실행을 방지할 수 있습니다. 이를 위해 관리자 모드에서 PowerShell을 열고 다음 명령을 실행하여 공격 표면 영역(ASR)을 줄입니다. 이 명령은 전면 금지를 부과하지 않고, 악성 설치 프로그램만 걸러내는 훌륭한 명령입니다.

Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled

가짜 NSIS 설치 프로그램의

다음으로, Windows 보안 앱을 엽니다. 바이러스 및 위협 보호 -> 바이러스 및 위협 보호 설정 -> 설정 관리로 이동합니다. 실시간 보호가 켜져 있는지 확인합니다.

Windows 보안의 바이러스 및 위협 보호 설정에서

또한, 바이러스 및 위협 보호 아래에서 랜섬웨어 보호 관리를 선택합니다. 제어된 폴더 액세스가 꺼져 있다면 다시 켭니다. 신뢰할 수 있는 앱을 화이트리스트에 추가하려면 제어된 폴더 액세스를 통한 앱 허용을 클릭할 수 있습니다.

Windows 보안의 랜섬웨어 보호 설정에서

이러한 최소한의 Windows 보안 보호 조치를 취하는 것만으로도 충분합니다. 고급 Windows 사용자는 Winos 4.0 악성코드의 실행을 허용하지 않도록 방화벽을 구성할 수도 있습니다.

Winos 4.0 악성코드가 Windows Defender에 예외를 추가하지 못하도록 방지

Winos 4.0 악성코드가 시스템에서 발전하는 교활한 방법 중 하나는 Windows Defender 스캔에서 예외를 추가하는 것입니다. 이를 미리 방지할 수 있습니다.

관리자 모드에서 PowerShell을 엽니다. 나쁜 스크립트에 대한 실행 정책을 추가하기 위해 다음 명령을 사용합니다. 확인하려면 A를 클릭합니다.

Set-ExecutionPolicy-Scope CurrentUser -ExecutionPolicy Restricted

PowerShell 스크립트를 통해 무작위 앱이 변경을 수행하지 못하도록 제한된 실행 정책.

모든 권한 없는 예외가 PowerShell에서 실행되지 않도록 방지할 수도 있습니다. 이는 모든 드라이브 문자를 포함하는 다음 명령을 사용하여 수행됩니다.

Remove-MpPreference -ExclusionPath C:\,D:\,E:\,F:\,G:\,H:\,I:\,J:\,K:\,L:\,M:\,N:\,O:\,P:\,Q:\,R:\,S:\,T:\,U:\,V:\,W:\,X:\,Y:\,Z:\

모든 드라이브 문자를 위한 PowerShell의 권한 없는 예외 방지.

관련: Autoruns는 Windows에서 많은 예약 작업을 관리하는 데 사용됩니다.

Autoruns를 사용하여 가짜 NSIS 항목 감지

Microsoft의 Autoruns 프로그램을 사용하여 가짜 NSIS 항목을 포함한 나쁜 시작 프로그램을 추적할 수 있습니다. 이는 Winos 4.0 악성코드 및 그 변종이 페이로드를 실행하기 전에 잡는 가장 쉬운 방법 중 하나입니다.

Sysinternals 웹페이지에서 Autoruns ZIP 파일을 다운로드합니다. 설치가 필요하지 않습니다. 파일을 압축 해제한 후 Autoruns64 파일을 두 번 클릭합니다(Windows 64 시스템용). 여기에서 모든 활성 로그인, 예약된 작업 및 프로세스의 전체적인 뷰를 얻을 수 있습니다. 빨간색으로 표시된 항목을 발견할 수 있습니다. NSIS 관련 항목을 주의 깊게 살펴보세요. 이들은 제대로 표시됩니다.

Windows에서 의심스러운 NSIS 항목을 찾기 위해

우리는 정당한 Windows 앱 설치 프로그램을 의심할 일이 거의 없습니다. SmartScreen(비활성화하지 말아야 함)과 Windows 보안 검사를 통과하면, 우리는 종종 VPN이나 브라우저와 관계없이 앱이 안전하다고 가정합니다. 바로 여기서 Winos 4.0 악성코드 저자들이 쉽게 접근할 수 있었습니다.

그래서 우리는 위의 방법을 사용하여 설치 프로그램의 신뢰성을 확인할 것을 권장합니다. PowerShell 창을 스크립트 실행으로부터 보호하는 것은 상당한 안전을 보장합니다. VirusTotal 및 기타 웹사이트를 사용하여 설치 패키지의 악성코드를 스캔할 수 있습니다.