# 安全资讯 1999 年就注册的顶级域名 7zip [.] com 竟然被用来投放恶意软件，目前尚不清楚黑客买下该域名还是通过某种方式控制了该域名。安全公司发现这个域名冒充 7-Zip 并分发带毒版本，而黑客目的则是代理 IP 池，即释放恶意软件用来中转流量，让第三方可以通过受害者的家宽 IP 路由流量。查看全文：https://ourl.co/111811

安全公司日前发现黑客竟然通过某种方式控制顶级域名 7zip [.] com 来分发恶意软件，开源的压缩管理器 7-Zip 官方域名是 https://7-zip.org/ 并且没有其他官方域名。

而 7zip [.] com 早在 1999 年就已经注册，但没想到这种域名会被拿来投毒，只不过目前还不清楚黑客买下这个域名还是通过其他方式控制了这个域名。

这个钓鱼网站完全复制 7-Zip 官方网站界面诱导下载带毒版本，很多用户看到这个域名误以为是官方网站，所以并没有提防就直接下载可执行文件并启动。

带毒版本包含如下恶意文件：

UpHero.exe：服务管理器和更新加载程序

hero.exe：主代理有效载荷

hero.dll：支持库

这些文件被放在 C:\Windows\SysWOW64\hero\ 目录中，为两个恶意可执行文件创建一个以 SYSTEM 身份运行的自启动 Windows 服务，这样用户开机后恶意软件就会跟随启动。

恶意软件还会使用 netsh 修改防火墙规则，以允许二进制文件建立入站和出站连接，完成准备工作后就使用微软的 WMI 和 Windows API 对系统进行分析，收集硬件、内存、CPU、磁盘和网络特性，数据会被发送到 iplogger [.] org 服务器。

很难发现威胁：

与常规恶意软件不同的是，此次黑客投放的恶意软件其实属于住宅代理软件，即将受感染的设备当作代理节点，允许第三方通过受害者的 IP 地址来路由流量。

因此常规的安全软件可能不太容易检测到异常，不过随着安全公司的曝光，目前各大安全软件都已经更新病毒库对域名和文件进行拦截。

研究还发现黑客的目标不只是 7-Zip，其他被用来冒充的知名软件还包括 TikTok 和 WhatsApp 等，黑客希望通过这种方式快速感染大量设备建立 IP 代理池。

目前社区已经将这个恶意域名上报给广告拦截插件的开源规则中，例如 uBlock Origin 调用的恶意网站规则就已经可以拦截这个域名。