Featured Image: Prevent Winos 4.0 malware in Windows

Table des matières

La variante Sneaky WinOS 4.0 malveillante utilise des installateurs NSIS trompeurs pour libérer des attaques en plusieurs étapes. Il peut même modifier la sécurité basée sur Windows Defender pour créer une exception, ce qui lui donne de la place pour fonctionner. Les résultats finaux sont le vol de données, la falsification du registre et la surveillance PC. Consultez nos solutions vérifiées pour arrêter ce malware persistant sur ses pistes.

Pourquoi les logiciels malveillants WinOS 4.0 sont dangereux

Winos 4.0 est une famille de logiciels malveillants sophistiqués, à l’origine dérivée de GH0st Rat. Le «4.0» n’est qu’un nom, et non une version spécifique du malware. Il existe depuis plus d’un an. Le 22 mai 2025, Rapid 7 a annoncé une variante WinOS 4.0 qui utilise VPN et les installateurs de navigateur pour injecter la charge utile.

Le malware est publié en tant que réaction en chaîne, en commençant par une fausse application NSIS, qui est un fichier EXE corrompu. Les noms des installateurs ne sont pas méfiés, tels que Qqbrowser_setup_x64.exe ou LET.15.0.exe. Ce qui rend ce logiciel malveillant dangereux, c’est ces tactiques de déception expertes que de nombreux utilisateurs ne douteront pas.

Pendant que vous installez l’application souhaitée, il supprime des fichiers supplémentaires tels qu’un lanceur VBScript, un chargeur PowerShell, une DLL malveillante et des fichiers de configuration. Rapid7 a donné un nom à la charge utile en plusieurs étapes – Catena Loader. Pour la persistance, une commande PowerShell silencieuse ajoute des exclusions pour protéger la charge utile. Notamment, les logiciels malveillants WinOS 4.0 peuvent rester en sommeil pendant des semaines, entrant dans l’action beaucoup plus tard.

En fin de compte, le malware WinOS 4.0 capture les mots de passe et les détails des crypto-monnaies, effectue des modifications de registre et surveille les captures d’écran, la webcam et le microphone. Fonctionnant uniquement en mémoire, comme nous l’avons vu avec Remcos Rat, il ne laisse aucune trace sur votre disque, éluant la détection par l’antivirus.

Vérifiez les signatures numériques de tous les installateurs

La vérification des signatures numériques de toute application que vous prévoyez d’installer protège votre PC. Pour cela, cliquez avec le bouton droit sur l’application, allez à son Propriétés -> Signatures numériques. Faire un clic Détails -> Afficher le certificat Pour vérifier l’authenticité de l’installateur.

Ici, nous vérifions la signature numérique de QQBrowser, dont les variantes de logiciels malveillants avec de faux installateurs NSIS sont disponibles. Celui-ci, cependant, a une véritable signature valide de Tencent Technology., La société derrière QQBrowser.

En rapport: Vérifiez comment vérifier les signatures numériques dans le logiciel Linux.

Activer les protections des applications de sécurité Windows

Bien que le malware Winos 4.0 trompe Windows Defender, il existe certaines étapes de sécurité dans l’application Windows Security.

Vous pouvez empêcher les installateurs de NSIS d’exécuter. Pour cela, ouvrez PowerShell en mode administrateur et exécutez la commande suivante pour réduire la surface d’attaque (ASR). Il s’agit d’une superbe commande qui n’impose pas une interdiction générale, mais n’élime que les installateurs malveillants.

Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Utilisation de PowerShell pour réduire le

Ensuite, ouvrez l’application Windows Security. Aller à Virus et protection des menaces -> Paramètres de protection des virus et des menaces -> Gérer les paramètres. Vérifiez pour vous assurer que Protection en temps réel est basculé.

"Protection en temps réel" est activé dans les paramètres du virus et de la protection des menaces de Windows Security.

En outre, sous la protection des virus et des menaces, faites défiler vers le bas pour sélectionner Gérer la protection des ransomwares. Si Accès à dossier contrôlé est éteint, rallumez-le. Vous pouvez cliquer davantage Autoriser une application via un accès au dossier contrôlé aux applications de confiance en liste blanche.

Garantissant "Accès à dossier contrôlé" est sur les paramètres de protection des ransomwares de Windows Security.

Faire ces protections de sécurité à Windows minimales est suffisante. Les utilisateurs avancés de Windows peuvent également configurer le pare-feu pour interdire les logiciels malveillants WINOS 4.0.

Empêcher les logiciels malveillants WINOS 4.0 d’ajouter des exclusions à Windows Defender

Un logiciel malveillant Sneaky Way Ways 4.0 se développe dans le système est d’ajouter une exclusion à partir de la numérisation de Windows Defender. Vous pouvez l’empêcher à l’avance.

Open PowerShell en mode administrateur. Utilisez la commande suivante pour ajouter la stratégie d’exécution pour les mauvais scripts. Faire un clic UN pour confirmer.

Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Restricted
Politique d'exécution restreinte pour empêcher les applications aléatoires d'apporter des modifications via des scripts PowerShell.

Vous pouvez également empêcher toutes les exclusions non autorisées de fonctionner dans PowerShell. Cela se fait en utilisant la commande suivante, qui couvre toutes les lettres de lecteur.

Remove-MpPreference -ExclusionPath C:,D:,E:,F:,G:,H:,I:,J:,K:,L:,M:,N:,O:,P:,Q:,R:,S:,T:,U:,V:,W:,X:,Y:,Z:
Empêcher les exclusions non autorisées pour PowerShell pour toutes les lettres de conduite.

En rapport: Autoruns est utilisé dans Windows pour gérer de nombreuses tâches planifiées.

Utilisez des autoruns pour détecter les fausses entrées NSIS

Un programme Microsoft appelé Autoruns peut être utilisé pour suivre les mauvais programmes de démarrage, y compris les fausses entrées NSIS. C’est l’une des façons les plus simples d’attraper les logiciels malveillants Winos 4.0 et ses variantes avant de pouvoir exécuter leurs charges utiles.

Téléchargez le fichier ZIP Autoruns à partir de la page Web Sysinternals. Aucune installation n’est nécessaire. Décompressez simplement le fichier et double-cliquez sur le Autoruns64 Fichier, (pour les systèmes Windows 64.) Ici, vous obtenez une vue d’oeil de toutes les connexions actives, les tâches planifiées et les processus. Vous pourriez repérer les entrées signalées en rouge. Gardez un œil sur toutes les entrées liées au NSIS, qui seront correctement signalées

En utilisant

Nous soupçonnons rarement des installateurs d’application Windows légitimes. Une fois qu’ils passent SmartScreen (que vous ne devriez pas désactiver) et les vérifications de la sécurité Windows, nous supposons souvent que l’application est sûre, qu’il s’agisse d’un VPN ou d’un navigateur. C’est là que les auteurs de logiciels malveillants WINOS 4.0 ont trouvé un accès facile.

C’est pourquoi nous recommanderons de vérifier la crédibilité de votre installateur en utilisant les méthodes ci-dessus. La protection de votre fenêtre PowerShell contre les exécutions de script assure une grande partie de la sécurité. Vous pouvez utiliser Virustotal et d’autres sites Web pour scanner des logiciels malveillants dans les packages d’installation.

Partager :
Facebook
Twitter
LinkedIn

Gentil Geek

Passionné d'informatique depuis ma plus tendre enfance aujourd'hui j'en ai fait mon métier. A vos côtés pour simplifier votre utilisation de l'informatique et vous permettre de gagner en compétences.

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *