文章总结： 近期曝光一起针对中文用户的精准网络攻击，攻击者伪造火绒安全官网域名，诱骗用户下载名为ValleyRAT的模块化远控木马。该木马通过DLL侧加载、内存执行shellcode、禁用安全软件及计划任务持久化等技术手段实现深度潜伏与远程控制。攻击利用用户对安全软件的高信任度，通过仿冒网站和云存储分发恶意载荷，凸显了社会工程学攻击的威胁。建议用户严格核验软件下载来源，警惕系统异常行为，安全厂商需加强品牌保护和用户安全教育。 综合评分： 78 文章分类： 恶意软件,威胁情报,社会工程学,终端安全,安全意识

黑客伪造火绒官网投递ValleyRAT，一场针对中文用户的精准围猎

原创

网空闲话 网空闲话

网空闲话plus

2026年2月25日 07:10 北京

当你想为自己的电脑穿上铠甲，却亲手引狼入室——这不是危言耸听，而是正在发生的网络安全现实。近日，一场精心策划、极具欺骗性的网络攻击活动被安全厂商曝光。攻击者通过伪造国内知名安全软件——火绒安全的官方网站，向毫无戒备的访问者投递了一款名为ValleyRAT的复杂远控木马。Malwarebytes实验室在2月23日发布的分析报告中，对这一动态进行了比较完整的披露。

一、事件还原：以“安全”之名的精准狩猎

这场攻击的起点，是一个细微到几乎无法察觉的差别。

火绒安全的官方域名是huorong.cn。攻击者注册的恶意域名则是huoronga[.]com、huorongcn[.]com、huorongh[.]com等——仅多了一个字母，或加了一个后缀。这种“域名误植”手法虽不新鲜，却屡试不爽：它利用的是用户的拼写疏忽、搜索引擎结果中的广告位，或是钓鱼邮件中的诱导链接。

当访问者进入这个仿冒网站时，页面与官网别无二致——同样的LOGO、同样的布局、同样的下载按钮。点击下载后，请求被悄然重定向至中间域名hndqiuebgibuiwqdhr[.]cyou，最终从云存储服务pub-b7ce0512b9744e2db68f993e355a03f9.r2[.]dev获取一个名为“BR火绒445[].zip”的压缩包。文件名中的“火绒”二字，让这份恶意文件在抵达用户设备前，都保持着完美的伪装。

伪造的火绒安全网站

攻击者选用合法的Cloudflare R2云存储作为下载源，显然经过深思熟虑：正规云服务的域名天然具备信任度，大大降低了被安全策略拦截的概率。

二、技术深潜：ValleyRAT如何一步步吞噬你的系统

ValleyRAT并非普通的远程控制木马，它基于Winos4.0框架构建，是一款模块化、高定制化的恶意软件。与传统的“一刀切”式木马不同，ValleyRat的核心特点是“按需加载”：初始感染阶段只植入一个轻量级加载器，后续攻击者可根据受害者的价值，动态下发各种功能插件。

目前已发现的功能插件包括：

键盘记录器：捕获用户的每一次按键，窃取账号密码、聊天记录

浏览器劫持者：读取Chrome、Firefox等浏览器的Cookie文件和保存的凭据

屏幕监视器：实时截取屏幕内容，监控用户操作

进程注入器：将恶意代码注入合法进程，逃避检测

最致命的是ProcessKiller组件：专门用于关闭国内主流安全软件——包括360安全卫士、火绒、腾讯电脑管家、金山毒霸等。这意味着，当用户以为自己正被安全软件保护时，ValleyRAT正在后台悄悄将这些“卫士”一一“处决”。

攻击链条：层层递进的欺骗艺术

第一步：安装阶段的完美伪装

压缩包内是一个经篡改的NSIS安装程序。NSIS（Nullsoft Scriptable Install System）是许多正规软件广泛使用的安装工具，因此其运行并不会引发任何警觉。安装过程中，攻击者甚至在桌面创建“火绒.lnk”快捷方式，模拟真实软件安装完毕的效果，让受害者彻底放下戒备。

第二步：DLL侧加载——让系统自己“引狼入室”

安装程序释放的文件中，包含一个看似正常的可执行文件WavesSvc64.exe（其PDB路径指向某游戏应用目录，显然是精心伪造），以及一个被替换为恶意的动态链接库DuiLib_u.dll。当系统运行WavesSvc64.exe时，它会按照规则自动加载同一目录下的DuiLib_u.dll——这是Windows的正常机制。

问题在于，这个DuiLib_u.dll已被完全篡改。它会读取并解密另一个文件box.ini中存储的加密shellcode，直接在内存中执行。整个过程不写入新的可执行文件，不修改系统关键文件，纯粹在内存中完成恶意代码的注入，绕过了绝大多数基于文件的扫描检测。

第三步：深度潜伏——把自己变成系统的“自己人”

成功入侵后，ValleyRAT展开一系列令人不寒而栗的“定居”操作：

瘫痪防御：以高完整性权限调用PowerShell，向Windows Defender下达指令——将木马的持久化目录%APPDATA%\trvePath\和主进程WavesSvc64.exe加入扫描排除列表。此后，Defender对它们视而不见。

永久扎根：创建名为“Batteries”的计划任务（路径为C:\Windows\Tasks\Batteries.job），确保每次系统重启，木马都能自动激活，重新连接位于161.248.87[.]250的远程控制服务器。

规避检测：木马会检测自身是否运行在沙箱、虚拟机或调试环境中——通过检查BIOS版本、显卡型号、VirtualBox注册表键值、内存容量、磁盘大小，以及系统语言和区域设置。只有在确认是真实的中文用户系统后，才会全面展开恶意活动。

自我更新：定期删除并重写自身的核心文件（WavesSvc64.exe、DuiLib_u.dll、box.ini等），以规避基于特征码的静态查杀。

隐蔽存储：将配置数据（包括加密后的C2域名yandibaiji0203[.]com）写入注册表HKCU\SOFTWARE\IpDates_info，另有一个加密数据存放于HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e。

三、深度剖析：为何偏偏是火绒？

攻击者选择假冒火绒，绝非随机，而是一次精心算计的策略抉择。

第一，极高的品牌信任度。 火绒作为国内广受好评的免费安全软件，以其纯净、高效、无打扰的特点，在中文用户群体中积累了极高的口碑。用户对“火绒”这个名字，天然抱有信任感。

第二，精准的受害者画像。 主动下载安全软件的用户，往往是安全意识相对较高、或设备中存有重要资料的人群——这正是攻击者眼中的“高价值目标”。用“安全”做诱饵，直击这类人群的心理需求，得手率远超假冒游戏或播放器。

第三，降低防御心理的绝佳伪装。 当用户相信自己正在安装一款杀毒软件时，他们不仅不会对安装过程产生怀疑，甚至可能在安装后主动关闭其他安全提示，为恶意软件的运行营造“温室环境”。

这是一种极具讽刺意味的围猎：最警惕的人，恰恰成为最精准的目标；寻求保护的行为，反而打开了入侵的大门。

四、警示与建议：别让你的“安全感”成为突破口

这场攻击再次证明：在网络安全领域，最薄弱的环节永远是人，最有效的攻击往往不是0day漏洞，而是精心设计的骗局。

对普通用户的警示

1. 核验来源，摒弃轻信。

下载任何软件，尤其是安全软件，务必通过官方发布渠道。对于火绒用户，请牢记：唯一官网是huorong.cn，而非huoronga.cn、huorongcn.com等任何变种。多一个字母、少一个点，都可能是陷阱。

2. 警惕异常行为。

如果你的电脑出现以下症状，应立即使用可靠安全软件进行全面扫描：

系统运行突然变慢，CPU或内存占用异常

频繁弹出黑色命令提示符窗口后迅速消失

Windows Defender无故被关闭且无法重新启用

计划任务列表中出现名为“Batteries”的陌生任务

3. 保持冷静，多方求证。

面对极具迷惑性的伪造网站，最有效的防御是自己的判断力。在点击下载前，多花一秒钟核实域名——这一秒，可能避免一场灾难。

对火绒公司及安全行业的警示

第一，品牌保护需前置。

此类仿冒攻击对品牌信誉的损害是巨大的。安全公司应主动防御，不仅限于商标注册，更应包括：

监控和投诉钓鱼域名、相似域名

在官网显著位置提醒用户如何辨别真伪

与浏览器厂商、搜索引擎合作，标记或下架仿冒网站

第二，用户教育要常态化。

安全公司应持续向用户传递基本的安全常识：如何识别官方渠道、如何发现系统异常、遭遇攻击后如何应对。这不是一次性的宣传，而是需要融入产品体验的常态化教育。

第三，行业协同防御。

当一家安全公司被仿冒，受害的是整个行业的公信力。安全厂商之间应建立信息共享机制，及时通报新发现的钓鱼域名、恶意样本和攻击手法，让防御跑在攻击前面。

五、结语：安全是一场永无止境的攻防

ValleyRAT的这次攻击之所以值得警惕，不在于其技术有多么尖端，而在于它完美演绎了现代网络攻击的核心逻辑：绕过技术防线，直击人性弱点。

当你在搜索引擎输入“火绒”，看到第一个结果时——你是否会多看一眼网址？

当你点击下载，看到进度条走完时——你是否想过这份“安全感”可能是一匹特洛伊木马？

网络安全，从来不只是软件的事，更是每个人的事。

参考资源

1、https://www.malwarebytes.com/blog/scams/2026/02/huorong

2、https://cybersecuritynews.com/fake-huorong-download-site-used/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《黑客伪造火绒官网投递ValleyRAT，一场针对中文用户的精准围猎》