文章总结： Malwarebytes披露假冒7-Zip官网传播木马事件。攻击者利用7zip.com域名分发捆绑恶意代理的安装包，将受害者转化为住宅代理节点。恶意软件具备持久化与反调试能力。文章提供了详细IOCs与自查步骤，建议仅从官方域名下载并更新杀毒软件查杀。 综合评分： 82 文章分类： 恶意软件,威胁情报,安全意识

【紧急预警】7-Zip假官网疯传！你下载的可能是木马！！！

原创

玲珑安全 玲珑安全

玲珑安全

2026年2月14日 14:51 福建

近期，一场高度隐蔽的钓鱼攻击正在全网蔓延。全球知名安全厂商Malwarebytes于2026年2月9日正式发布威胁情报，一款仿冒7-Zip压缩软件的恶意安装包，正通过搜索引擎广告、YouTube装机教程、社交群组等渠道疯狂传播，让无数普通用户在毫不知情的情况下，把家用电脑变成了黑客手中的“肉鸡”。

作为装机量极高的免费开源压缩工具，7-Zip一直是用户信任的基础软件，也正因如此，它成为黑客精准攻击的目标。本次事件中，攻击者使用的域名为7zip.com，页面布局、文字介绍、下载按钮与正版官网高度一致，普通用户几乎无法通过视觉分辨。

而7-Zip官方在多次声明中强调，唯一官方地址为7-zip.org，带中间横杠，后缀为.org，从未使用过7zip.com这个域名。

外媒Malwarebytes官方报告：

“The fake installer does install the legitimate 7-Zip, but alongside it, a malicious proxy module is quietly deployed.”

这个伪造的安装程序确实会安装正版7-Zip，但与此同时，一个恶意代理模块会被悄悄部署。

这正是本次攻击最狡猾的地方——捆绑正版、暗植木马。

用户安装后，解压软件可以正常使用，很难第一时间发现异常。

但在系统后台，恶意程序会自动释放文件到系统关键目录C:\Windows\SysWOW64\hero\，生成hero.exe、Uphero.exe、hero.dll等组件，以SYSTEM最高权限注册系统服务，实现开机自启，并通过netsh命令修改防火墙规则，为后台联网扫清障碍。

此外，该恶意软件还会通过WMI和Windows API收集设备硬件信息（如内存大小、CPU数量、磁盘属性和网络配置），并上报至iplogger.org，用于进一步剖析受害者环境。

外媒BleepingComputer报道：

“The malware collects device data and communicates with a C2 server, turning infected PCs into residential proxy nodes used for credential stuffing, phishing, and fraud.”

该恶意软件会收集设备数据并与控制服务器通信，将受感染电脑变成住宅代理节点，用于撞库、网络钓鱼与欺诈活动。

简单来说，黑客并不直接偷你的文件或密码，而是借用你的家庭宽带IP，去做各种违法操作。

你的IP会被标记为恶意地址，可能导致账号封禁、网络异常，甚至面临法律关联风险。

该攻击使用Go语言编写的hero.exe作为核心代理负载，通过旋转的C2域名（如soc.hero-sms.co、neo.herosms.co等）获取配置，并在非标准端口（如1000、1002）建立出站代理连接，使用轻量级XOR编码协议（密钥0x70）进行通信。

为规避检测，它还集成虚拟机检测（针对VMware、VirtualBox等）、反调试机制、运行时API解析和进程枚举等技术。

Malwarebytes研究员表示，这是一整条黑产链条的一部分，攻击者还在用同样的手法仿冒TikTok、WhatsApp、HolaVPN、Wire VPN等热门应用，批量制作钓鱼安装包。安装包使用已吊销的Authenticode证书（来自Jozeal Network Technology Co., Limited）签名，进一步增强伪装性。

目前，微软Defender已将其识别为Trojan:Win32/Malgent!MSR，更新病毒库后可有效查杀。 Malwarebytes等专业工具也能全面检测并逆转其持久化机制。

很多受害者都是在跟着教程装机、搜索“官方下载”时中招。搜索引擎广告位、视频简介链接、论坛网盘分享，都是这类钓鱼文件的高发地带。黑客利用用户对“教程”“官方”“免费”的信任，完成低成本、高扩散的恶意投放。

多位安全研究者和媒体账号（如@Malwarebytes、@BleepingComputer）持续转发警告，强调该域名已活跃一段时间，呼吁用户立即验证来源。

关键指标（IOCs）参考

为帮助用户和技术人员快速识别，以下是部分已知指标（基于Malwarebytes和BleepingComputer报告）：

恶意域名：7zip.com、soc.hero-sms.co、neo.herosms.co、flux.smshero.co 等（完整列表可查Malwarebytes报告）

文件路径：C:\Windows\SysWOW64\hero\Uphero.exe、hero.exe、hero.dll

文件哈希（SHA-256）：

• Uphero.exe: e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027
• hero.exe: b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894
• hero.dll: 3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9

10秒快速自检

1.你的7-Zip是否从7-zip.org下载？

2.查看文件夹C:\Windows\SysWOW64\hero\是否存在？

3.系统服务中是否出现Helper Service或Uphero服务？

4.杀毒是否报毒Trojan:Win32/Malgent!MSR？

满足任意一条，说明你的电脑可能已被控制。立即行动！

欢迎转发给身边常用电脑、经常下载软件的朋友，让更多人避开这波高仿钓鱼陷阱。

培训咨询/报名二维码

ID：linglongsec

报喜专栏总览

https://www.ifhsec.com/list.html

SRC漏洞挖掘培训

学员每一期的收获、我们每一期的进步

玲珑安全第一期SRC漏洞挖掘培训

玲珑安全第二期SRC漏洞挖掘培训

玲珑安全第三期SRC漏洞挖掘培训

玲珑安全第四期SRC漏洞挖掘培训

玲珑安全第五期SRC漏洞挖掘培训

玲珑安全第六期SRC漏洞挖掘培训

玲珑安全第七期SRC漏洞挖掘培训

玲珑安全B站公开课

免费课程观看/日常消息更新/学员赏金报喜

https://space.bilibili.com/602205041

玲珑安全QQ群

191400300

往期文章直达

关注公众号 各种优质好文速递

吓哭了！天才黑客觉醒！Claude 4.6挖出500个高危0day

紧急预警！CTF神器ToolsFx老版本暗藏涉黄陷阱

谁在裸奔？1750万Ins用户数据泄露事件

Grok助推AI“脱衣”技术走向主流

脆弱的锁：SAML 认证的新型绕过方式

快手至暗一小时-当公域流量入口被劫持，平台的主权究竟掌握在谁手中？

离职当晚他敲下一行代码，不仅赔了600万，还把自己送进监狱

揭秘Cookie前缀保护失效的真实成因与攻击技巧

从 Lyft 费用导出到本地/内网文件泄露的实战案例

CSPT 漏洞原理、利用与实战浅析

雅虎商业平台密码重置漏洞分析与利用

利用 Python 中不安全的文件解压实现代码执行

Facebook 服务器上的远程代码执行

挖掘特斯拉Model 3上价值1w美元的漏洞

入侵Chess.com并获取5000万客户记录

入侵全球最大的航空公司和酒店奖励平台

黑进斯巴鲁——只需车牌号，10秒接管车辆

要挂科了？那就黑一下教务处系统吧…

价值10w的Google点击劫持漏洞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：玲珑安全 玲珑安全 玲珑安全《【紧急预警】7-Zip假官网疯传！你下载的可能是木马！！！》