تنبيه WinOS 4.0 للبرامج الضارة: حماية جهاز الكمبيوتر الخاص بك من مثبتات NSIS المزيفة

تنبيه WinOS 4.0 للبرامج الضارة: حماية جهاز الكمبيوتر الخاص بك من مثبتات NSIS المزيفة


يستخدم متغير البرامج الضارة WinOS 4.0 Sneaky WinOS 4.0 مثبتات NSIS لعلاج الهجمات متعددة المراحل. يمكن أن يقوم حتى بتعديل الأمان القائم على مدافع Windows لإنشاء استثناء ، مما يمنحه مجالًا للعمل. النتائج النهائية هي سرقة البيانات ، والعبث السجل ، ومراقبة الكمبيوتر. تحقق من حلولنا التي تم التحقق منها لإيقاف هذه البرامج الضارة المستمرة في مساراتها.

لماذا WinOS 4.0 البرامج الضارة خطيرة

WinOS 4.0 هي عائلة من البرامج الضارة المتطورة ، مستمدة أصلاً من الجرذ GH0st. “4.0” هو مجرد اسم ، وليس أي إصدار محدد من البرامج الضارة. لقد كان موجودًا لأكثر من عام. في 22 مايو ، 2025 ، أعلنت Rapid 7 عن متغير WinOS 4.0 الذي يستخدم VPN ومثبتات المتصفح لحقن الحمولة.

يتم إصدار البرامج الضارة كتفاعل سلسلة ، بدءًا من تطبيق NSIS المزيف ، وهو ملف EXE تالف. أسماء المثبتات غير متوقعة ، مثل qqbrowser_setup_x64.exe أو Lets.15.0.exe. ما يجعل هذه البرامج الضارة خطرة هي تكتيكات الخداع الخبراء التي لن يشكها العديد من المستخدمين.

أثناء تثبيت التطبيق المطلوب ، فإنه يسقط ملفات إضافية مثل قاذفة VBScript ، وملفات PowerShell ، وملفات DLL الخبيثة ، وملفات التكوين. أعطت Rapid7 اسمًا لحمولة حمولة متعددة المراحل-Catena Loader. من أجل الثبات ، يضيف أمر PowerShell الصامت استثناءات لحماية الحمولة الحمولة. والجدير بالذكر أن البرامج الضارة WinOS 4.0 يمكن أن تكمن في نائمة لأسابيع ، وينطلق في وقت لاحق.

في نهاية المطاف ، يلتقط برنامج WinOS 4.0 Malware كلمات المرور وتفاصيل العملة المشفرة ، ويقوم بتغييرات السجل ، ومراقبة لقطات الشاشة وكاميرا الويب والميكروفون. تعمل فقط في الذاكرة ، كما رأينا مع Remcos Rat ، لا يترك أي أثر على القرص الخاص بك ، مما يتهرب من اكتشاف مكافحة الفيروسات.

تحقق من التوقيعات الرقمية لجميع المثبتات

إن التحقق من التوقيعات الرقمية لأي تطبيق تخطط لتثبيته يبقي جهاز الكمبيوتر الخاص بك آمنًا. لهذا ، انقر بزر الماوس الأيمن على التطبيق ، انتقل إلى ذلك ملكيات -> التوقيعات الرقمية. انقر تفاصيل -> عرض الشهادة للتحقق من صحة المثبت.

هنا ، نتحقق من التوقيع الرقمي لـ QQBrowser ، الذي تتوفر متغيرات البرامج الضارة مع مثبتات NSIS المزيفة. هذا واحد ، رغم ذلك ، لديه توقيع حقيقي صحيح من قبل Tencent Technology. ، الشركة وراء QQBrowser.

متعلق ب: تحقق من كيفية التحقق من التوقيعات الرقمية في برنامج Linux.

تمكين حماية تطبيقات أمان Windows

على الرغم من أن WinOS 4.0 Malware يخدع Windows Defender ، فهناك بعض خطوات الأمان التي يمكنك اتخاذها داخل تطبيق Windows Security.

يمكنك منع مثبتات NSIS من التنفيذ. لهذا ، Open PowerShell في وضع المسؤول ، وقم بتشغيل الأمر التالي لتقليل مساحة سطح الهجوم (ASR). هذا أمر رائع لا يفرض حظرًا شاملاً ، ولكن فقط يتفوق على المثبتات الضارة.

Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
باستخدام PowerShell لتقليل

بعد ذلك ، افتح تطبيق Windows Security. اذهب إلى حماية الفيروسات والتهديد -> إعدادات حماية الفيروسات والتهديدات -> إدارة الإعدادات. تحقق لضمان ذلك الحماية في الوقت الحقيقي يتم تبديله.

"حماية الوقت الحقيقي" يتم تشغيله في إعدادات فيروسات Windows Security وحماية التهديد.

أيضًا ، تحت حماية الفيروسات والتهديدات ، قم بالتمرير لأسفل للاختيار إدارة حماية البرامج الفدية. لو وصول المجلد المتحكم فيه هو خارج ، قم بإعادة تشغيله مرة أخرى. يمكنك مزيد من النقر السماح لتطبيق من خلال الوصول إلى المجلد المتحكم فيه للتطبيقات الموثوقة القائمة البيضاء.

ضمان "وصول المجلد المتحكم فيه" يعمل في إعدادات حماية البرامج الفدية الخاصة بـ Windows Security.

إن القيام بهذه الحماية الأمنية الدنيا لنظام Windows كافية. يمكن لمستخدمي Windows المتقدمون أيضًا تكوين جدار الحماية لعدم السماح لـ WinOS 4.0 برامج ضارة.

منع البرامج الضارة WinOS 4.0 من إضافة استثناءات إلى Windows Defender

تتم تطوير البرامج الضارة للبرامج الضارة التي تتطور في النظام في النظام عن طريق إضافة استبعاد من Windows Defender Scanning. يمكنك منعه مقدمًا.

Open PowerShell في وضع المسؤول. استخدم الأمر التالي لإضافة سياسة التنفيذ للنصوص السيئة. انقر أ للتأكيد.

Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Restricted
سياسة التنفيذ المقيدة لمنع التطبيقات العشوائية من إجراء تغييرات من خلال البرامج النصية PowerShell.

يمكنك أيضًا منع جميع الاستثناءات غير المصرح بها من الركض في PowerShell. يتم ذلك باستخدام الأمر التالي ، والذي يغطي جميع رسائل محرك الأقراص.

Remove-MpPreference -ExclusionPath C:\,D:\,E:\,F:\,G:\,H:\,I:\,J:\,K:\,L:\,M:\,N:\,O:\,P:\,Q:\,R:\,S:\,T:\,U:\,V:\,W:\,X:\,Y:\,Z:\
منع استثناءات غير مصرح بها لـ PowerShell لجميع رسائل القيادة.

متعلق ب: يتم استخدام Autoruns في Windows لإدارة العديد من المهام المجدولة.

استخدم Autoruns للكشف عن إدخالات NSIS المزيفة

يمكن استخدام برنامج Microsoft يسمى Autoruns لتتبع برامج بدء التشغيل السيئة ، بما في ذلك إدخالات NSIS المزيفة. هذه واحدة من أسهل الطرق لالتقاط البرامج الضارة وينوس 4.0 ومتغيراتها قبل أن يتمكنوا من تنفيذ حمولاتهم.

قم بتنزيل ملف zip Autoruns من صفحة الويب sysinternals. لا يلزم تثبيت. فقط قم بفك ضغط الملف ، وانقر نقرًا مزدوجًا فوق Autoruns64 ملف ، (لأنظمة Windows 64.) هنا ، ستحصل على عرض عين الطائر لجميع عمليات تسجيل الدخول النشطة ، والمهام المجدولة ، والعمليات. يمكنك اكتشاف الإدخالات التي تم وضع علامة عليها باللون الأحمر. ترقب أي إدخالات متعلقة بـ NSIS ، والتي سيتم وضع علامة عليها بشكل صحيح

استخدام

نادراً ما نشك في مثبتات تطبيقات Windows الشرعية. بمجرد أن يمرروا الشاشة الذكية (التي يجب ألا تعطفها) ، وفحص أمان Windows ، فإننا نفترض غالبًا أن التطبيق آمن ، سواء كان VPN أو متصفح. هذا هو المكان الذي وجد فيه مؤلفو البرامج الضارة WinOS 4.0 سهولة الوصول.

لهذا السبب سوف نوصي بالتحقق من مصداقية المثبت باستخدام الطرق المذكورة أعلاه. يضمن حماية نافذة PowerShell من عمليات الإعدام السيناريو قدرًا كبيرًا من السلامة. يمكنك استخدام مواقع الويب والمواقع الإلكترونية الأخرى لمسح البرامج الضارة في حزم المثبتات.

الوسوم

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى