黑客伪造7-Zip官网传播木马程序，将用户电脑变成代理节点。有用户误入仿冒网站7zip[.]com下载安装包，数周后才发现系统被植入木马。这显示即使细微的域名差异也可能导致严重后果。

标题：警惕伪造的7-Zip下载网站将家用电脑变为代理节点

核心内容概述： 近期出现一个高度仿真的7-Zip压缩软件钓鱼网站（7zip[.]com），通过分发携带恶意程序的安装包，将用户电脑悄然转变为住宅代理节点。该活动已持续运作相当长时间。

典型案例： 一位PC组装者通过YouTube教程误入钓鱼网站，下载安装后遭遇系统异常。微软防御程序最终检测到"Trojan:Win32/Malgent!MSR"木马程序。该案例显示，攻击者通过仿冒可信软件分发渠道，能实现对系统的长期未授权控制。

技术分析： 1. 恶意安装包使用已吊销的Jozeal Network Technology公司证书签名，包含正常7-Zip文件管理器程序（7zfm.exe）和三个隐藏组件： - Uphero.exe（服务管理器） - hero.exe（Go语言编写的代理主程序） - hero.dll（支持库）

2. 感染流程：

   • 将文件部署至系统目录C:\Windows\SysWOW64\hero\
   • 注册为系统服务实现持久化
   • 修改防火墙规则
   • 收集主机信息并发送至iplogger[.]org

3. 主要功能： 将受害主机变为住宅代理节点，通过非标准端口（1000/1002）建立代理连接，使用XOR加密（密钥0x70）通信协议。

关联活动： 该组织还使用upHola.exe、upTiktok等名称开展类似攻击，手法高度一致。

防御建议： 1. 核实软件来源，收藏官方域名（7-zip.org） 2. 检查异常代码签名 3. 监控未授权系统服务和防火墙变更 4. 使用专业安全软件查杀（如Malwarebytes）

技术指标： - 文件路径：C:\Windows\SysWOW64\hero\下相关组件 - 网络特征：涉及hero-sms[.]co等域名和Cloudflare前端IP - 主机特征：特定命名的系统服务和防火墙规则

研究贡献： 多位安全研究人员（Luke Acha、s1dhy等）共同揭露了该代理软件家族的运作模式，确认其通过品牌仿冒而非漏洞利用实现长期驻留。

（注：原文中的技术细节、哈希值、具体IP等指标性内容已精简，保留了关键行为特征和防御要点。）

总结评论内容如下：

1. 关于7-Zip官网的争议

   • 有用户指出7-zip.com并非官网，真正的官网是7-zip.org（评论3："7zip.com has never been the official website"）
   • 经比对，两个网站提供的文件完全相同（评论4："They are byte-for-byte identical"）

2. 对7-Zip作者行为的质疑

   • 作者拒绝提供数字签名或文件哈希值（评论2："refuse to digitally sign or even provide hashes"）
   • 有用户怀疑.com域名可能曾被用于恶意软件分发（评论9："will probably change back soon to the malware links"）

3. 浏览器安全防护的有效性

   • 主流浏览器能有效拦截疑似钓鱼网站（评论6："all 3 block it as Suspected Phishing"）
   • 用户建议使用winget等包管理器避免下载风险（评论8："using winget to install my apps"）

4. 对俄罗斯软件的担忧

   • 有用户表示不信任来自俄罗斯的软件（评论7："I would not trust any sw from Russia"）

5. 恶意软件商业模式分析

   • 该恶意软件将用户电脑变为代理节点（评论10："turns your PC into a residential proxy node"）
   • 其隐蔽性导致传统防护难以检测（评论10："endpoint protection isn't looking for it"）

6. 其他相关讨论

   • 有用户对YouTube教程持负面看法（评论1："nothing good ever comes from youtube tutorials"）
   • 域名混淆问题普遍存在（评论5："many services use a few domain names"）