文章总结： 安全研究人员发现一个伪造的7-Zip官网正分发植入木马的安装包，将用户电脑变为住宅代理节点。攻击者注册相似域名并复制官网内容，通过安装包释放恶意文件，建立持久化服务并修改防火墙规则。该恶意软件具备反虚拟机检测能力，使用加密通信回传信息。专家建议用户通过书签访问官方渠道下载软件以防受害。 综合评分： 78 文章分类： 恶意软件,威胁情报,终端安全,安全意识

假冒的7-Zip官网暗藏代理木马传播恶意安装包

胡金鱼 胡金鱼

嘶吼专业版

2026年2月24日 14:03 北京

安全研究人员发现，一个伪造的7-Zip网站正在分发被植入木马的压缩工具安装包，该恶意程序会将用户电脑变为住宅代理节点。

住宅代理网络利用家庭用户设备转发流量，以此绕过访问限制，并实施凭证填充、网络钓鱼、恶意软件分发等各类恶意活动。

这一新型攻击活动因用户举报引发广泛关注：该用户在观看YouTube上的电脑装机教程后，依照教程指引，从一个冒充7-Zip官方的网站下载了恶意安装包。

攻击者注册了7zip.com域名，极易误导用户以为访问的是官方工具站点。此外，攻击者还完整复制了7-Zip官方网站（7-zip.org）的文字内容与页面结构。

传播木马化 7-Zip 安装包的恶意网站

研究人员对该安装包进行分析后发现，其使用一张已被吊销的数字证书签名，证书原颁发给Jozeal Network Technology Co.，Limited。

该恶意安装包内同样包含正常的7-Zip程序，可提供工具的完整功能，但会在安装过程中释放三个恶意文件：

·Uphero.exe——服务管理与更新加载程序

·hero.exe——代理核心载荷

·hero.dll——支持库

这些文件会被释放至C:\Windows\SysWOW64\hero\目录，程序还会以SYSTEM权限创建Windows自启动服务，确保恶意程序持久运行。同时，攻击者通过netsh命令修改防火墙规则，允许恶意程序发起内外网连接。

最终，恶意程序会通过Windows管理规范（WMI）与Windows应用程序接口采集主机硬件、内存、CPU、磁盘及网络配置信息，并将数据上报至iplogger.org。

研究人员在分析该恶意程序目的时表示：“尽管初步迹象显示其具备后门类功能，但进一步分析证实，该恶意软件的核心用途为代理程序。受感染主机会被纳入住宅代理网络，允许第三方通过受害者IP地址转发流量。”

分析显示，hero.exe会从轮换的smshero系列C2域名获取配置，并在1000、1002等非常规端口开启外连代理通道，控制指令则通过轻量级XOR算法进行混淆加密。

此次攻击活动并非仅伪装7-Zip，还通过篡改HolaVPN、TikTok、WhatsApp、Wire VPN等软件的安装包传播。

该恶意软件使用以hero/smshero为主题的轮换式命令控制基础设施，流量经Cloudflare并采用TLS加密的HTTPS协议传输；同时通过谷歌解析器使用HTTPS加密DNS（DoH），降低防守方对常规DNS流量监控的可见性。

程序还会检测VMware、VirtualBox、QEMU、Parallels等虚拟化环境及调试器，以此识别自身是否处于分析环境中。

安全专家建议用户，不要直接点击YouTube视频中的链接或搜索引擎推广结果，应为常用软件的官方下载页面添加书签，从正规渠道获取软件。

参考及来源：https://www.bleepingcomputer.com/news/security/malicious-7-zip-site-distributes-installer-laced-with-proxy-tool/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《假冒的7-Zip官网暗藏代理木马传播恶意安装包》