文章总结： 文档揭露了一个伪造的7-Zip官网长期传播木马安装程序的事件。攻击者利用吊销证书签名恶意软件，在用户安装正常软件的同时部署恶意组件。该木马将受害者机器变为住宅代理节点以非法牟利，具备持久化控制、防火墙篡改、信息收集及多重反沙箱能力。此外，分析发现该活动是大规模攻击的一部分，涉及多个仿冒软件，文中提供了详细的IOC指标。 综合评分： 90 文章分类： 恶意软件,威胁情报,应急响应

7-Zip 钓鱼网站

Khan安全团队

2026年2月15日 08:35 广东

一个与流行的 7-Zip 压缩软件网站极其相似的网站一直在提供木马安装程序，该程序会在受害者的机器上悄无声息地将其变成住宅代理节点、而且它已经隐藏了一段时间。

伪装成合法软件的木马安装程序

这并非简单的恶意下载案例，而是一个随机网站上的恶意程序。7zip[.]com 背后的运营者通过一个仿冒域名分发了一个植入木马的安装程序，该程序表面上提供功能正常的 7-Zip 文件管理器，但实际上却隐藏着恶意软件。

安装程序使用现已吊销的证书（颁发给 Jozeal Network Technology Co., Limited）进行 Authenticode 签名，使其表面上看起来合法。安装过程中，7zfm.exe会部署一个修改后的版本，并且该版本运行正常，从而降低用户的疑虑。与此同时，还会悄悄地移除三个额外的组件：

Uphero.exe — 服务管理器和更新加载器hero.exe — 主要代理有效载荷（Go 编译）hero.dll — 一个支持库

所有组件都写入到C:\Windows\SysWOW64\hero\，这是一个特权目录，不太可能被手动检查。

此外，还观察到了一个独立的更新通道update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip，这表明恶意软件有效载荷可以独立于安装程序本身进行更新。

滥用可信分销渠道

此次攻击活动最令人担忧的方面之一是其对第三方信任的依赖。Reddit 的案例凸显了 YouTube 教程无意中成为恶意软件传播途径的问题，因为教程创建者错误地引用了 7zip.com 而非其合法域名。

这表明攻击者如何利用看似无害的内容生态系统中的微小错误，大规模地将受害者引向恶意基础设施。

执行流程：从安装程序到持久代理服务

1. 文件部署—有效载荷安装到 SysWOW64 中，需要提升权限并发出信号以进行深度系统集成。2. 通过 Windows 服务实现持久性—Uphero.exe两者都hero.exe注册为在系统权限下运行的自动启动 Windows 服务，确保每次启动时都能执行。3. 防火墙规则操控——该恶意软件会调用防火墙netsh规则移除现有规则，并为其二进制文件创建新的入站和出站允许规则。此举旨在减少对网络流量的干扰，并支持有效载荷的无缝更新。4. 主机分析——该恶意软件利用 WMI 和 Windows 原生 API 枚举系统特征，包括硬件标识符、内存大小、CPU 数量、磁盘属性和网络配置。该恶意软件通过专用报告端点与 iplogger[.]org 通信，表明它会收集并报告设备或网络元数据，作为其代理基础架构的一部分。

功能目标：住宅代理货币化

虽然初步迹象表明该恶意软件具有后门功能，但进一步分析显示，其主要功能是代理软件。受感染的主机被注册为住宅代理节点，允许第三方通过受害者的 IP 地址路由流量。

该hero.exe组件从轮换的“smshero”主题命令与控制域中检索配置数据，然后在1000和1002等非标准端口上建立出站代理连接。流量分析显示，0x70使用轻量级的XOR编码协议（密钥）来混淆控制消息。

该基础设施与已知的住宅代理服务一致，这些服务出售对真实消费者 IP 地址的访问权限，用于欺诈、网络爬虫、广告滥用或匿名洗钱。

多个虚假安装程序共享工具

7-Zip 的冒充似乎是更大规模行动的一部分。相关的二进制文件已被发现，名称包括upHola.exeupTiktok、upWhatsapp 和 upWire，它们都采用了相同的策略、技术和流程：

部署到 SysWOW64Windows 服务持久性通过操纵防火墙规则netsh加密的 HTTPS C2 流量

嵌入的字符串中提及 VPN 和代理品牌，表明存在一个支持多个分发前端的统一后端。

轮换基础设施和加密传输

内存分析发现大量使用hero特定smshero命名规则的硬编码命令与控制域名。沙箱执行期间的主动解析显示，流量通过 Cloudflare 基础设施路由，并使用 TLS 加密的 HTTPS 会话。

该恶意软件还通过谷歌的解析器使用 DNS-over-HTTPS，降低了传统 DNS 监控的可见性，并使基于网络的检测变得更加复杂。

规避和反分析特征

该恶意软件采用了多层沙箱和分析规避技术：

针对 VMware、VirtualBox、QEMU 和 Parallels 的虚拟机检测反调试检查和可疑的调试器 DLL 加载运行时 API 解析和 PEB 检查进程枚举、注册表探测和环境检查

加密支持十分广泛，包括 AES、RC4、Camellia、Chaskey、XOR 编码和 Base64，表明可以进行加密配置处理和流量保护。

IOC

文件路径

C:\Windows\SysWOW64\hero\Uphero.exeC:\Windows\SysWOW64\hero\hero.exeC:\Windows\SysWOW64\hero\hero.dll

文件哈希值（SHA-256）

e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027(Uphero.exe)b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894(hero.exe)3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9(hero.dll)

网络指标

域名

soc.hero-sms[.]coneo.herosms[.]coflux.smshero[.]conova.smshero[.]aiapex.herosms[.]aispark.herosms[.]iozest.hero-sms[.]aiprime.herosms[.]vipvivid.smshero[.]vipmint.smshero[.]compulse.herosms[.]ccglide.smshero[.]ccsvc.ha-teams.office[.]comiplogger[.]org

观察到的 IP 地址（Cloudflare 前端）：

104.21.57.71172.67.160.241

基于主机的指标

Windows 服务，其映像路径指向C:\Windows\SysWOW64\hero\名为 Uphero 或 hero 的防火墙规则（入站和出站）互斥锁：Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Khan安全团队 《7-Zip 钓鱼网站》