【安全圈】7zip.com 并非官方：釣魚站分發惡意程序

關鍵詞

網絡釣魚

安全研究人員近期發現，頂級域名 7zip.com 被用于偽裝成 7-Zip 官方網站分發惡意軟件。需要強調的是，7-Zip 唯一官方域名為 https://7-zip.org/ ，并不存在所謂的“7zip.com”官方站點。

該域名早在 1999 年就已注冊，但近期被用于投毒傳播。目前尚不清楚攻擊者是直接收購域名，還是通過其他方式獲得控制權。

高仿頁面誘導下載

該釣魚網站幾乎完整復制了 7-Zip 官方頁面的界面設計，普通用戶在未仔細核對域名的情況下，很容易誤判為正規站點，直接下載安裝所謂的“最新版”。

一旦運行下載的可執行文件，系統便會被植入惡意組件，包括：

• UpHero.exe：服務管理與加載程序

• hero.exe：核心代理載荷

• hero.dll：輔助庫文件

相關文件被釋放至：

C:\Windows\SysWOW64\hero\


隨后程序會創建以SYSTEM 權限運行的自啟動 Windows 服務，實現開機自動加載，確保長期駐留。

修改防火墻并收集系統信息

惡意程序通過netsh命令修改防火墻規則，開放入站與出站連接權限，為后續通信鋪路。

接著利用 WMI 與 Windows API 進行環境探測，收集內容包括：

• CPU 與內存信息

• 磁盤與硬件特征

• 網絡配置與環境特征

相關數據被上傳至 iplogger.org 服務器。

從攻擊鏈來看，這是一個典型的“下載—駐留—持久化—外聯”完整閉環。

真正目的：住宅代理池

這類惡意程序并不直接執行勒索或竊密，而是將受感染主機轉化為“住宅代理節點”。

簡單來說，攻擊者可以通過受害者真實 IP 轉發流量，用于：

• 繞過地域限制

• 規避風控系統

• 執行灰黑產活動

• 構建匿名代理網絡

由于行為表面上只是“網絡轉發”，并非明顯破壞性操作，因此常規殺軟早期可能不易識別。

不過隨著安全廠商披露，主流安全軟件已更新病毒庫，對相關文件和域名進行攔截。

不止 7-Zip

研究人員發現，攻擊者并不只針對 7-Zip。類似手法還被用于偽裝：

• TikTok

• WhatsApp

• 其他高知名度軟件

策略很簡單：利用“熱門軟件 + 高仿官網 + 真實頂級域名”提高轉化率，快速擴大感染規模，構建可變現的 IP 資源池。

目前該惡意域名已被社區加入攔截規則，例如 uBlock Origin 的惡意域名列表已覆蓋該站點。

安全建議

對于個人用戶：

• 僅從官方域名下載軟件

• 下載前核對 HTTPS 證書與域名拼寫

• 定期檢查系統服務與異常外聯行為

對于企業環境：

• 啟用 DNS 過濾與威脅情報訂閱

• 審計新增 Windows 服務

• 監控異常 WMI 調用與 netsh 操作

• 建立出站流量行為基線

這起事件再次說明一個現實問題：攻擊者不一定需要 0day，只要掌握一個“足夠像”的域名，就能完成大規模感染。

在供應鏈安全與軟件分發鏈條中，域名本身已成為攻擊面的一部分。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！