Технологии простыми словами

Предупреждение о вредоносном ПО Winos 4.0: Защитите свой ПК от поддельных установщиков NSIS

Изображение: Предотвратите вредоносное ПО Winos 4.0 в Windows

Хитрый вариант вредоносного ПО Winos 4.0 использует обманчивые установщики NSIS для запуска многоступенчатых атак. Он даже может изменять безопасность на основе Windows Defender, чтобы создать исключение, предоставляя себе возможность действовать. Конечные результаты — кража данных, вмешательство в реестр и слежка за ПК. Ознакомьтесь с нашими проверенными решениями, чтобы остановить этот настойчивый вредоносный софт.

Почему вредоносное ПО Winos 4.0 опасно

Winos 4.0 — это сложное семейство вредоносного ПО, изначально происходящее от Gh0st RAT. “4.0” — это просто название, а не какая-либо конкретная версия вредоносного ПО. Оно существует более года. 22 мая 2025 года Rapid 7 объявила о варианте Winos 4.0, который использует VPN и установщики браузеров для внедрения вредоносного кода.

Вредоносное ПО выпускается как цепная реакция, начиная с поддельного приложения NSIS, которое является поврежденным EXE-файлом. Имена установщиков безобидны, такие как QQBrowser_Setup_x64.exe или Lets.15.0.exe. Опасность этого вредоносного ПО заключается в этих экспертных тактиках обмана, которым многие пользователи не будут сомневаться.

Во время установки желаемого приложения оно сбрасывает дополнительные файлы, такие как загрузчик VBScript, загрузчик PowerShell, вредоносный DLL и файлы конфигурации. Rapid7 дала название многоступенчатому вредоносному коду — Catena loader. Для постоянства беззвучная команда PowerShell добавляет исключения, чтобы защитить вредоносный код. Примечательно, что вредоносное ПО Winos 4.0 может оставаться в спящем режиме в течение недель, активируясь гораздо позже.

В конечном итоге вредоносное ПО Winos 4.0 захватывает пароли и данные о криптовалюте, вносит изменения в реестр и следит за скриншотами, веб-камерой и микрофоном. Работая исключительно в памяти, как мы видели с Remcos RAT, оно не оставляет следов на вашем диске, избегая обнаружения антивирусом.

Проверьте цифровые подписи всех установщиков

Проверка цифровых подписей любого приложения, которое вы собираетесь установить, защищает ваш ПК. Для этого щелкните правой кнопкой мыши на приложении, перейдите в его Свойства -> Цифровые подписи. Нажмите Подробности -> Просмотреть сертификат, чтобы проверить подлинность установщика.

Проверка цифровой подписи для свойств файла установщика QQBrowser.

Здесь мы проверяем цифровую подпись QQBrowser, у которого есть варианты вредоносного ПО с поддельными установщиками NSIS. Этот же, однако, имеет действительную подпись от Tencent Technology, компании, стоящей за QQBrowser.

Связано: проверьте, как проверить цифровые подписи в программном обеспечении Linux.

Включите защиту приложения Windows Security

Хотя вредоносное ПО Winos 4.0 обманывает Windows Defender, есть определенные меры безопасности, которые вы можете предпринять в приложении Windows Security.

Вы можете предотвратить выполнение установщиков NSIS. Для этого откройте PowerShell в режиме администратора и выполните следующую команду, чтобы уменьшить площадь атаки (ASR). Это отличная команда, которая не накладывает общий запрет, а только устраняет вредоносные установщики.

Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled

Использование PowerShell для уменьшения

Затем откройте приложение Windows Security. Перейдите в Защита от вирусов и угроз -> Настройки защиты от вирусов и угроз -> Управление настройками. Убедитесь, что Защита в реальном времени включена.

Также в разделе Защита от вирусов и угроз прокрутите вниз и выберите Управление защитой от программ-вымогателей. Если Доступ к контролируемым папкам выключен, включите его снова. Вы также можете нажать Разрешить приложению доступ через контролируемый доступ к папкам, чтобы добавить в белый список доверенные приложения.

Убедитесь, что

Выполнение этих минимальных мер безопасности Windows достаточно. Продвинутые пользователи Windows также могут настроить брандмауэр, чтобы запретить вредоносному ПО Winos 4.0.

Предотвратите добавление исключений вредоносным ПО Winos 4.0 в Windows Defender

Хитрый способ, которым вредоносное ПО Winos 4.0 развивается в системе, — это добавление исключения от сканирования Windows Defender. Вы можете предотвратить это заранее.

Откройте PowerShell в режиме администратора. Используйте следующую команду, чтобы добавить политику выполнения для плохих скриптов. Нажмите A, чтобы подтвердить.

Set-ExecutionPolicy-Scope CurrentUser -ExecutionPolicy Restricted

Ограниченная политика выполнения для предотвращения изменений случайными приложениями через скрипты PowerShell.

Вы также можете предотвратить выполнение всех несанкционированных исключений в PowerShell. Это делается с помощью следующей команды, которая охватывает все буквы дисков.

Remove-MpPreference -ExclusionPath C:\,D:\,E:\,F:\,G:\,H:\,I:\,J:\,K:\,L:\,M:\,N:\,O:\,P:\,Q:\,R:\,S:\,T:\,U:\,V:\,W:\,X:\,Y:\,Z:\

Предотвращение несанкционированных исключений для PowerShell для всех букв дисков.

Связано: Autoruns используется в Windows для управления многими запланированными задачами.

Используйте Autoruns для обнаружения поддельных записей NSIS

Программа Microsoft под названием Autoruns может быть использована для отслеживания плохих программ при запуске, включая поддельные записи NSIS. Это один из самых простых способов поймать вредоносное ПО Winos 4.0 и его варианты до того, как они смогут выполнить свои вредоносные действия.

Скачайте ZIP-файл Autoruns с веб-страницы Sysinternals. Установка не требуется. Просто распакуйте файл и дважды щелкните по файлу Autoruns64 (для систем Windows 64). Здесь вы получите общее представление о всех активных входах, запланированных задачах и процессах. Вы можете заметить записи, отмеченные красным. Обратите внимание на любые записи, связанные с NSIS, которые будут правильно отмечены.

Использование

Мы редко подозреваем законные установщики приложений Windows. Как только они проходят SmartScreen (который не следует отключать) и проверки Windows Security, мы часто предполагаем, что приложение безопасно, независимо от того, является ли это VPN или браузером. Именно здесь авторы вредоносного ПО Winos 4.0 нашли легкий доступ.

Вот почему мы рекомендуем проверять подлинность вашего установщика, используя вышеуказанные методы. Защита вашего окна PowerShell от выполнения скриптов обеспечивает значительную безопасность. Вы можете использовать VirusTotal и другие веб-сайты для сканирования вредоносного ПО в установочных пакетах.

Содержание

  1. Почему вредоносное ПО Winos 4.0 опасно
  2. Проверьте цифровые подписи всех установщиков
  3. Включите защиту приложения Windows Security
  4. Предотвратите добавление исключений вредоносным ПО Winos 4.0 в Windows Defender
  5. Используйте Autoruns для обнаружения поддельных записей NSIS
Ello-dashboardprofile

Ello: Исследование Частной Социальной Сети

Bitdefender не устанавливается: 3 простых решения, которые вы можете использовать

Больше о решениях Bitdefender

Google убивает Inbox и дает ему шесть месяцев жизни

aspect-ratios-16x9

Понимание соотношений сторон видео

Менеджер файлов с тегами для организации ваших файлов: Топ 5

Исправление проблемы с Wake on LAN

Проблемы с Wake On LAN в Windows [Решено]

easycap-mac-mspacman-console

Использование EasyCAP для захвата VHS и консолей на Mac

Google тестирует новую функцию Chrome для проверки права на обновление до Windows 11